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出 版 说 明 


于 网 络 应 用 越 来 越 普及 ,信息 化 的 社会 已 经 呈现 出 越 来 越 广阔 的 前 景 ,可 以 肯定 地 说 ， 
在 未 来 的 社会 中 电子 支付 ,电子 银行 .电子 政务 以 及 多 方面 的 网 络 信息 服务 将 深入 到 人 
类 生活 的 方方面面 。 同 时 , 随 之 面临 的 信息 安全 问题 也 日 益 突出 ,非法 访问 、 信 息 窃 取 、 
甚至 信息 犯罪 等 恶意 行为 导致 信息 的 严重 不 安全 。 信 息 安全 问题 已 由 原来 的 军事 国防 
领域 扩展 到 了 整个 社会 ,因此 社会 各 界 对 信息 安全 人 才 有 强烈 的 需求 。 

信息 安全 本 科 专 业 是 2000 年 以 来 结合 我 国 特色 开设 的 新 的 本 科 专 业 , 是 计算 机 、 
通信 数学 等 领域 的 交叉 学 科 , 主 要 研究 确保 信息 安全 的 科学 和 技术 。 自 专业 创办 以 
来 ,各 个 高 校 在 课程 设置 和 教材 研究 上 一 直 处 于 探索 阶段 。 但 各 高 校 由 于 本 身 专 业 设 
置 上 来 自 于 不 同 的 学 科 , 如 计算 机 、 通 信和 数学 等 ,在 课程 设置 上 也 没有 统一 的 指导 规 
范 ,在 课程 内 容 、 深 浅 程度 和 课程 衔接 上 ,存在 模糊 不 清 、 内 容重 释 、 知 识 覆 盖 不 全 面 等 
现象 。 因 此 ,根据 信息 安全 类 专业 知识 体系 所 覆盖 的 知识 点 ,系统 地 研究 目前 信息 安全 
专业 教学 所 涉及 的 核心 技术 的 原理 ,实践 及 其 应 用 ,合理 规划 信息 安全 专业 的 核心 课 
程 , 在 此 基础 上 提出 适合 我 国信 息 安全 专业 教学 和 人 才 培 养 的 核心 课程 的 内 容 框架 和 
知识 体系 ,并 在 此 基础 上 设计 新 的 教学 模式 和 教学 方法 ,对 进一步 提高 国内 信息 安全 专 
业 的 教学 水 平和 质量 具有 重要 的 意义 。 

为 了 进一步 提高 国内 信息 安全 专业 课程 的 教学 水 平和 质量 ,培养 适应 社会 经 济 发 
展 需要 的 、 兼 具 研 究 能 力 和 工程 能 力 的 高 质量 专业 技术 人 次 。 在 教育 部 相关 教学 指导 
委员 会 专家 的 指导 和 建议 下 .清华 大 学 出 版 社 与 国内 多 所 重点 大 学 共同 对 我 国信 息 安 
全 人 才 培 养 的 课程 框架 和 知识 体系 ,以 及 实践 教学 内 容 进行 了 深入 的 研究 ,并 在 该 基础 
上 形成 了 “信息 安全 人 才 需 求 与 专业 知识 体系 、 课 程 体系 的 研究 ”等 研究 报告 。 

本 系列 教材 是 在 课程 体系 的 研究 基础 上 总 结 、 完 善 而 成 .力求 充分 体现 科学 性 、 先 
进 性 .工程 性 ,突出 专业 核心 课程 的 教材 ,兼顾 具有 专业 教学 特点 的 相关 基础 课程 教材 ， 
探索 具有 发 展 潜力 的 选修 课程 教材 ,满足 高 校 多 层次 教学 的 需要 。 

本 系列 教材 在 规划 过 程 中 体现 了 如 下 一 些 基 本 组 织 原则 和 特点 。 

(1) 反映 信息 安全 学 科 的 发 展 和 专业 教育 的 改革 ,适应 社会 对 信息 安全 人 才 的 培 
养 需求 ,教材 内 容 坚持 基本 理论 的 扎实 和 清晰 ,反映 基本 理论 和 原理 的 综合 应 用 ,在 其 
基础 上 强调 工程 实践 环节 ,并 及 时 反映 教学 体系 的 调整 和 教学 内 容 的 更 新 。 

(2) 反映 教学 需要 ,促进 教学 发 展 。 教 材 要 适应 多 样 化 的 教学 需要 ,正确 把 握 教学 
内 容 和 课程 体系 的 改革 方向 ,在 选择 教材 内 容 和 编写 体系 时 注意 体现 素质 教育 、 创 新 能 
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力 与 实践 能 力 的 培养 ,为 学 生 知识 、 能 力 .素质 协调 发 展 创造 条 件 。 

(3) 实施 精品 战略 ,突出 重点 。 规 划 教材 建设 把 重点 放 在 专业 核心 (基础 ?课程 的 教材 
建设 上 ; 特别 注意 选择 并 安排 一 部 分 原来 基础 比较 好 的 优秀 教材 或 讲义 修订 再 版 ,逐步 形 
成 精品 教材 ; 提倡 并 鼓励 编写 体现 工程 型 和 应 用 型 的 专业 教学 内 容 和 课程 体系 改革 成 果 的 
教材 。 

(4) 支持 一 纲 多 本 ,合理 配套 。 专 业 核 心 课 和 相关 基础 课 的 教材 要 配套 ,同一 门 课程 可 
以 有 多 本 具有 各 自 内 容 特点 的 教材 。 处 理 好 教材 统一 性 与 多 样 化 ,基本 教材 与 辅助 教材 . 教 
学 参考 书 ,文字 教材 与 软件 教材 的 关系 ,实现 教材 系列 资源 的 配套 。 

(5) 依靠 专家 ,择优 落实 。 在 制定 教材 规划 时 依靠 各 课程 专家 在 调查 研究 本 课程 教材 
建设 现状 的 基础 上 提出 规划 选 题 。 在 落实 主编 人 选 时 ,要 引入 竞争 机 制 , 通 过 申报 .评审 确 
定 主编 。 书 稿 完成 后 认真 实行 审 稿 程序 ,确保 出 书 质量 。 

繁荣 教材 出 版 事业 ,提高 教材 质量 的 关键 是 教师 。 建 立 一 支 高 水 平 的 ` 以 老 带 新 的 教材 
编写 队伍 才能 保证 教材 的 编写 质量 ,希望 有 志 于 教材 建设 的 教师 能 够 加 入 到 我 们 的 编写 队 
伍 中 来 。 


21 世纪 高 等 学 校 信息 安 全 专业 规划 教材 
联系 人 : 魏 江 江 weijj@tup. tsinghua. edu. cn 


在 全 球 信息 化 的 背景 下 ,信息 已 成 为 一 种 重要 的 战略 资源 。 信息 的 应 用 涵盖 国防 、 政 治 、 
经 济 .科技 ,文化 等 各 个 领域 ,在 社会 生产 和 生活 中 的 作用 愈 来 愈 显 著 。 随 着 Internet 
在 全 球 的 普及 和 发 展 , 计 算 机 网 络 成 为 信息 的 主要 载体 之 一 。 信 息 网 络 技术 的 应 用 愈 
加 普及 和 广泛 ,应 用 层次 逐步 深入 ,应 用 范围 不 断 扩大 。 国 家 发 展 和 社会 运转 ,以 及 人 
类 的 各 项 活动 对 计算 机 网 络 的 依赖 性 越 来 越 强 。 

男 一 方面 ,计算 机 网 络 的 全 球 互联 趋势 愈 来 愈 明显 ,人 类 活动 对 计算 机 网 络 的 依赖 
性 不 断 增 大 ,基于 网 络 的 应 用 层出不穷 ,也 使 得 网 络 安 全 问题 更 加 突出 ,受到 越 来 越 广 
泛 的 关注 。 计 算 机 网 络 的 安全 性 已 成 为 当今 信息 化 建设 的 核心 问题 之 一 。 

网 络 安全 是 指 网 络 系统 的 硬件 .软件 及 其 系统 中 的 数据 受到 保护 ,不 因 偶然 的 或 者 
恶意 的 原因 而 遭受 到 破坏 更改、 泄露 ,系统 连续 可 靠 地 运行 ,网 络 服务 不 中 断 。 网 络 安 
全 是 一 门 涉及 计算 机 科学 .网 络 技术 .通信 技术 .密码 技术 .信息 安 全 技术 .应 用 数学 . 数 
论 .信息 论 等 多 种 学 科 的 综合 性 学 科 。 全 书 内 容 安排 如 下 : 

(1) 第 1 章 着 重 讨论 了 目前 存在 的 网 络 安全 挑战 ; 介绍 了 网 络 安全 的 定义 、 网 络 安 
全 的 属性 、 网 络 安全 层次 结构 、 网 络 安全 模型 ; 在 介绍 OSI 安全 体系 结构 中 主要 关注 了 
安全 攻击 、 安 全 机 制 和 安全 服务 ; 网 络 安全 防护 体系 的 建立 是 基于 安全 技术 的 集成 基 
础 之 上 ,依据 一 定 的 安全 策略 建立 起 来 的 ,在 介绍 时 侧重 了 网 络 安全 策略 和 网 络 安全 
体系 。 

(2) 密码 是 通信 双方 按 约定 的 法 则 对 信息 进行 特定 变换 的 一 种 重要 保密 手段 。 密 
码 学 是 实现 网 络 安 全 服务 和 安全 机 制 的 基础 ,是 网 络 安全 的 核心 技术 ,在 网 络 安全 领域 
占有 不 可 替代 的 重要 地 位 。 第 2 章 详细 介绍 了 密码 学 的 基本 概念 、 对 称 密码 党、 数据 加 
密 标准 DES、 高 级 加 密 标准 AES、RC4 算法 和 基于 对 称 密 码 的 通信 保密 性 等 基础 理论 。 

(3) 公 钥 密码 体制 不 仅 用 于 加 解密 :而 且 可 以 广泛 用 于 消息 鉴别 .数字 签名 和 身份 
认证 等 服务 ,是 密码 学 中 一 个 开创 性 的 成 就 。 公 钥 密 码 体制 的 最 大 优点 是 适应 网 络 的 
开放 性 要 求 , 密 钥 管理 相对 于 对 称 密码 体制 要 简单 得 多 。 但 是 , 公 钥 密码 体制 并 不 会 取 
代 对 称 密码 体制 ,原因 在 于 公 钥 密码 体制 算法 相对 复杂 ,加 解密 速度 较 慢 。 实 际 应 用 
中 , 公 钥 密码 和 对 称 密码 经 常 结合 起 来 使 用 .加 解密 使 用 对 称 密码 技术 ,而 密 钥 管理 使 
用 公 钥 密码 技术 。 第 3 章 详细 讨论 了 公 钥 密码 体制 原理 `EIGamal 公 钥 密码 体制 、 密 钥 
管理 等 基础 理论 。 

(4) 保障 消息 完整 性 和 真实 性 的 重要 手段 是 消息 鉴别 技术 。 在 开放 的 网 络 通信 环 
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境 中 ,消息 鉴别 是 保证 网 络 通 信安 全 的 一 个 重要 环节 ,对 于 防止 主动 攻击 、 维 护 开放 网 络 中 
信息 的 安全 具有 非常 重要 的 意义 。 第 4 章 介 绍 了 消息 鉴别 的 概念 和 模型 .鉴别 函数 、 散 列 函 
数 、 消 息 鉴别 码 等 知识 。 

(5) 数字 签名 已 成 为 计算 机 网 络 不 可 缺少 的 一 项 安全 技术 ,在 商业 金融. 军事 等 领域 
得 到 了 广泛 的 应 用 。 第 5 章 介 绍 了 数字 签名 基本 概念 .一些 著名 的 数字 签名 方案 ,以 及 一 些 
特殊 形式 的 数字 签名 。 

(6) 认证 是 防止 主动 攻击 的 重要 技术 .是 安全 服务 的 最 基本 内 容 之 一 。 根 据 被 认证 实 
体 的 不 同 , 身 份 认证 包括 两 种 情况 。 第 6 章 首 先 介绍 了 用 户 认证 和 认证 协议 的 基本 原理 , 然 
后 介绍 三 个 在 网 络 上 提供 身份 认证 服务 的 标准 。 

(7) 在 TCP/IP 协议 分 层 模 型 中 ,IP 层 是 可 能 实现 端 到 端 安全 通信 的 最 底层 。 通 过 在 
IP 层 上 实现 安全 性 ,不 仅 可 以 保护 各 种 带 安全 机 制 的 应 用 程序 ,而 且 可 以 保护 许多 无 安全 
机 制 的 应 用 。IP 级 安全 性 包括 三 个 方面 的 内 容 : 认证 ,保密 和 密 钥 管理 。 第 7 章 详细 介绍 
了 IP 层 安全 标准 IPSec、IPSec 安全 体系 结构 、 认 证 头 协 议 (AH)、 封 装 安全 载荷 协议 
(ESP) 、 密 钥 管 理 协议 (IKE) ,以 及 用 于 网 络 认证 和 加 密 的 一 些 算法 等 知识 。 

(8) 随 着 网 络 交易 .网 络 银行 .电子 政务 .网络 事务 处 理 等 业务 的 兴起 ,Web 的 安全 性 问 
题 日 益 突出 。 为 了 保证 Web 的 安全 ,安全 Web 服务 应 运 而 生 。Web 安全 性 非常 广泛 。 第 
8 章 首先 讨论 Web 安全 性 的 普遍 需求 ,然后 集中 讨论 两 种 应 用 与 Web 商业 的 标准 模式 
SSL/TLS 和 SET。 

(9) 随 着 互联 网 的 迅速 发 展 和 普及 .电子 邮件 已 经 成 为 网 络 中 最 为 广泛 、 最 受 欢迎 的 应 
用 之 一 。 但 是 ,电子 邮件 的 发 展 也 面临 着 机 密 泄漏 、 信 息 欺 骗 、 病 毒 侵扰 、 垃 圾 邮件 等 诸多 安 
全 问题 的 困扰 。 人 们 对 电子 邮件 服务 的 要 求 日 渐 提 高 ,其 认证 和 保密 性 的 需求 也 日 益 增长 。 
第 9 章 介绍 电子 邮件 系统 的 基本 构成 及 其 面临 的 安全 问题 .讨论 了 PEM、PGP 和 S/MIME 
三 种 电子 邮件 的 安全 标准 。 

(10) 计算 机 系统 面临 非 授 权 的 使 用 .计算 机 病毒 .木马 等 多 个 严重 的 安全 问题 。 第 10 
章 介 绍 了 计算 机 病毒 .人 侵 检测 和 防火 墙 。 

本 书 既 注重 网 络 安全 基础 理论 .又 着 眼 培养 读者 解决 网 络 安 全 问题 能 力 。 本 书 的 特点 
是 文字 简明 、 图 表 准 确 、 通 俗 易 懂 . 用 循序 渐进 的 方式 叙述 网 络 安全 知识 ,对 网 络 安 全 的 原理 
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第 1 瘟 概 述 


在 全 球 信息 化 的 背景 下 ,信息 已 成 为 一 种 重要 的 战略 资源 。 信 息 的 应 用 涵盖 国防 、 政 
治 经济、 科技 文化 等 各 个 领域 ,在 社会 生产 和 生活 中 的 作用 愈 来 愈 显 著 。 随 着 Internet 在 
全 球 的 普及 和 发 展 ,计算 机 网 络 成 为 信息 的 主要 载体 之 一 。 信 息 网 络 技术 的 应 用 愈加 普及 
和 广泛 ,应 用 层次 逐步 深入 ,应 用 范围 不 断 扩大 。 国 家 发 展 和 社会 运转 ,以 及 人 类 的 各 项 活 
动 对 计算 机 网 络 的 依赖 性 越 来 越 强 。 

另 一 方面 ,计算 机 网 络 的 全 球 互联 趋势 愈 来 您 明显 ,人 类 活动 对 计算 机 网 络 的 依赖 性 不 
断 增 大 ,基于 网 络 的 应 用 层出不穷 :也 使 得 网 络 安全 问题 更 加 突出 ,受到 越 来 越 广泛 的 关注 
计算 机 网 络 安全 已 成 为 当今 信息 化 建设 的 核心 问题 之 一 。 


1.1 网 络 安全 挑战 


计算 机 网 络 ,尤其 是 Internet, 正 面临 着 严重 的 安全 挑战 。Internet 是 一 个 全 球 性 的 互 
联网 ,在 发 展 初期 规模 不 大 ,主要 用 于 高 等 学 校 和 科研 院 所 ,并 假定 用 户 之 间 存 在 信任 关系 ， 
用 户 都 是 善意 的 。 因 此 ,Internet 在 初期 设计 几乎 没有 考虑 安全 方面 的 特性 。 但 是 , 随 着 
Internet 规模 逐渐 扩大 ,用 户 数 量 的 不 断 增长 ,这 种 信任 模式 已 经 逐步 恶化 。 而 且 , 以 电子 
商务 、 电 子 政务 为 代表 的 新 应 用 ,对 网 络 安全 提出 了 更 高 的 要 求 。Internet 初期 完全 开放 的 
设计 特性 而 没有 考虑 安全 的 状况 已 经 不 能 适应 当代 的 需要 。 

1988 年 莫 里 斯 蠕虫 病毒 发 作 使 得 Internet 上 超过 10% 的 计算 机 受害 ,之 后 每 年 重大 网 
络 安全 事件 不 断 发 生 。 表 1-1 列 出 了 历年 的 重大 网 络 安全 事件 。 

表 1-1 重大 网 络 安全 事件 


名 称 日 期 影 响 
莫 里 斯 (Morris) 蠕 虫 1988 年 与 Internet 连接 的 10% 的 计算 机 受害 
梅 丽 莎 (Melissa) 1999 年 5 月 一 周 内 感染 超过 100 000 台 计 算 机 ,造成 损失 约 15 亿美 元 


爱 虫 (I Love You) 病 毒 2000 年 5 月 约 87 亿美 元 的 经 济 影响 
红色 代码 (Red Code) 蠕 虫 | 2001 年 7 月 14 小 时 内 超过 359 000 台 计 算 机 被 感染 


尼 姐 达 CNimday 师 下 2001 年 9 月 ”| 高峰 时 160 000 侣 计算 机 被 感染 ,超过 15 亿美 元 的 经 济 影响 

求职 信 (CKIeD 2002 年 7.5 亿美 元 的 经 济 影响 

冲击 波 (BlasteD 2003 年 约 8 亿 美元 的 经 济 影响 

震荡 波 (Sasser) 2004 年 5 月 破坏 能 力 和 影响 超过 冲击 波 

极速 波 (2oboD 冉 让 2005 年 8 月 | 具有 像 * 冲 击 波 " 和 "震荡 波 ”一 样 的 传播 能 力 的 恶意 蠕虫 

熊猫 娆 香 2006 年 约 80 亿 人 民 币 的 经 济 损失 

灰 铭 子 2007 2005 一 2007 年 | 国内 后 门 的 集大成 者 ,连续 三 次 位 列 年 度 十 大 病毒 
俄罗斯 与 格鲁吉亚 的 冲突 中 ,双方 通过 Internet 相互 攻 

俄 格 网 络 战争 2 和 于。 有 


Conficker 蠕虫 2009 年 感染 了 全 球 超过 数 以 千 万 计 的 计算 机 


入 计算 机 网 络 安全 


近 几 年 ,安全 攻击 的 复杂 性 提高 很 多 ,攻击 的 自动 化 程度 和 攻击 速度 以 及 杀伤 力 逐 步 提 
高 ; 攻击 工具 的 特征 更 难 发 现 ,更 难 利用 特征 进行 检测 。 如 红色 代码 和 尼 姆 达 这 样 的 混合 型 
威胁 ,使 用 组 合 的 攻击 方式 来 更 快 地 进行 传播 ,造成 比 单一 型 病毒 更 大 的 危害 。2003 年 
1 月 的 蠕虫 王 ,被 释放 后 不 到 10 分 钟 ,就 感染 了 75 000 台 计 算 机 。 从 世界 范围 看 ,网 络 入 侵 
活动 日 益 增 加 ,并 超过 了 恶意 代码 感染 的 次 数 。 而 且 . 入 侵 工 具 传 播 范围 越 来 越 广 ,入 侵 技 
术 不 断 提高 ,对 攻击 者 的 知识 要 求 反 而 降低 了 。 当 前 ,防火 墙 是 人 们 用 来 防范 人 侵 者 的 主要 
保护 措施 ,但 是 越 来 越 多 的 攻击 技术 可 以 绕 过 防火 墙 ,不 仅 对 广大 用 户 , 而 且 对 Internet 基 
础 设施 也 将 形成 越 来 越 大 的 威胁 。 

自 1994 年 我 国正 式 接 入 Internet 以 来 ,互联 网 规模 和 应 用 迅猛 发 展 。2009 年 中 国 互 
联网 信息 中 心 (CNNIC) 发 布 的 第 23 次 中 国 互联 网 发 展 情况 统计 报告 显示 ,截止 2008 年 12 
月 31 日 ,中 国 网 民 规 模 达 到 2. 98 亿 人 ,普及 率 达 到 22. 6%% ,年 增长 率 为 41.9%% 。 然 而 目前 
中 国 互联 网 安全 情况 不 容 乐 观 ,各 种 网 络 安全 事件 层出不穷 。 综 合 来 看 ,当前 网 络 安全 形势 
严峻 的 原因 主要 有 以 下 三 点 : 

(1) 由 于 近年 来 中 国 互联 网 持续 快速 发 展 .我 国 网 民 数 量 、 宽 带 用 户 数 量 、. cn 域名 数 
量 都 已 经 跃 居 全 球 第 一 位 ,而 我 国 网 络 安全 基础 设施 建设 跟 不 上 互联 网 发 展 的 步伐 ,民众 的 
网 络 安全 意识 薄弱 ,中 小 企业 大 多 采用 粗放 式 的 安全 管理 风格 ,这 三 者 相 加 直接 导致 中 国 互 
联网 安全 问题 的 突出 。 

(2) 随 着 技术 的 不 断 提高 ,攻击 工具 日 益 专业 化 、 易 用 化 ,攻击 方法 也 越 来 越 复 杂 、 隐 
项 ,防护 难度 较 大 。 

(3) 电子 商务 领域 不 断 扩 展 , 与 现实 中 的 金融 体系 日 益 融 合 ,为 网 络 世界 的 虚拟 要 素 附 
加 了 实际 价值 ,这 些 信息 系统 成 为 黑客 攻击 牟利 的 目标 。 

根据 公安 部 公共 信息 网 络 安全 监察 局 2008 年 病毒 疫情 调查 报告 统计 ,62.7% 的 被 调查 
单位 发 生 过 信息 网 络 安全 事件 ,感染 计算 机 病毒 .蠕虫 和 木马 程序 的 情况 依然 最 为 突出 ,其 
次 是 网 络 攻击 .端口 扫描 垃圾 邮件 和 网 页 算 改 。 近 几 年 每 年 新 增 计算 机 病毒 .木马 的 数量 
如 图 1-1 所 示 。 


病毒 数量 13 899 717 
14 000 000F 
12 000 000 
10 000 000 
8 000 000 
6 000 000 
4 000 000 
2 000 000 mm 
240 156 283 084 
| 13 358-29 059—50, 一- ”4 莉 
2003 2004 2005 2006 2007 2008 数 
年 份 量 


1-1 木马 .病毒 新 增 数量 对 比 
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攻击 者 攻击 目标 明确 ,针对 网 站 和 用 户 使 用 不 同 的 攻击 手段 。 对 政府 网 站 主要 采用 自 
改 网 页 的 攻击 形式 ,对 企业 则 采用 有 组 织 的 分 布 式 拒绝 服务 (DDoS) 等 攻击 手段 ,对 个 人 用 
户 则 通过 窃取 账号 、 密 码 等 形式 窃取 用 户 个 人 财产 .对 金融 机 构 则 用 网 络 钓 鱼 进行 网 络 仿 
冒 ,在 线 盗 取 用 户 身 份 和 密码 。 

在 2008 年 中 ,病毒 木马 呈现 爆发 性 增长 .制作 病毒 木马 门槛 的 降低 和 背后 的 高 利益 诱 
惑 都 是 其 主因 。2008 年 上 半年 ,国家 互联 网 应 急 中 心 CCNCERT) 对 常见 的 木马 程序 活动 
状况 进行 了 抽样 监测 ,发 现 我 国 大 陆地 区 302 526 个 IP 地 址 的 主机 被 植 和 人 木马。 包含 恶意 
代码 URL 链接 的 垃圾 邮件 的 数量 有 所 增加 , 载 有 恶意 软件 (不 仅仅 是 恶意 代码 的 链接 ) 的 
电子 邮件 数量 也 在 不 断 增 加 。 针 对 DNS 和 域名 转发 服务 器 的 攻击 数量 有 明显 增多 的 趋势 。 
新 型 网 络 应 用 的 发 展 带 来 了 新 的 安全 问题 和 威胁 。 

当今 社会 ,互联 网 已 成 为 重要 的 国家 基础 设施 ,在 国民 经 济 建设 中 发 挥 着 日 益 重要 的 作 
用 。 随 着 我 国政 府 信息 化 基础 建设 的 推进 ,信息 公开 程度 的 提升 ,网络 和 信息 安全 也 已 成 为 
关系 到 国家 安全 、 社 会 稳定 的 重要 因素 ,社会 各 界 都 对 网 络 安全 提出 了 更 高 的 要 求 ,采取 有 
效 措施 ,建设 安全 可靠、 便捷 的 网 络 应 用 环境 ,维护 国家 网 络 信息 安全 ,成 为 社会 信息 化 进 
程 中 吸 待 解决 的 问题 。 


1.2 网 络 安全 的 基本 概念 


1.2.1 网 络 安 全 的 定义 


网 络 安全 指 网 络 系统 的 软件 、 硬 件 以 及 系统 中 存储 和 传输 的 数据 受到 保护 ,不 因 偶然 的 
或 者 恶意 的 原因 而 遭 到 破坏 、 更 改 、 泄 露 , 网 络 系 统 连续 可 靠 正 常 地 运行 ,网 络 服务 不 中 断 。 

计算 机 网 络 是 地 理 上 分 散 的 多 台 自 主 计算 机 互联 的 集合 。 互 联 由 各 种 各 样 的 通信 设 
备 、 通 信和 链 路 、 网 络 软件 实现 ,而且 必 须 遵 循 特 定 的 网 络 协议 。 因 此 ,网 络 安全 从 其 本 质 上 讲 
就 是 网 络 上 的 信息 安全 。 为 了 保证 网 络 上 信息 的 安全 ,首先 需要 自主 计算 机 系统 的 安全 ; 
其 次 需要 互联 的 安全 , 即 连接 自主 计算 机 的 通信 设备 .通信 链 路 、 网 络 软件 和 通信 协议 的 安 
全 ; 最 后 需要 各 种 网 络 服务 和 应 用 的 安全 。 

网 络 安全 的 具体 含义 会 随 着 利益 相关 方 的 变化 而 变化 。 

从 一 般 用 户 ( 个 人 .企业 等 ) 的 角度 来 说 ,他 们 希望 涉及 个 人 隐私 或 商业 利益 的 信息 在 网 
络 上 传输 时 能 够 保持 机 密 性 、 完 整 性 和 真实 性 ,避免 其 他 人 或 对 手 利用 窃听 、 冒 充 、 算 改 、 抵 
赖 等 手段 侵犯 自身 的 利益 。 

从 网 络 运 行者 和 管理 者 角度 说 ,他 们 希望 对 网 络 信 息 的 访问 受到 保护 和 控制 ,避免 出 现 
非法 使 用 、 拒 绝 服务 和 网 络 资源 非法 占用 和 非法 控制 等 威胁 ,制止 和 防御 网 络 黑客 的 攻击 。 

安全 保密 部 门 希望 对 非法 的 有 害 的 或 涉及 国家 机 密 的 信息 进行 过 滤 和 防 堵 ,避免 机 要 
信息 泄露 ,避免 对 社会 产生 危害 ,对 国家 造成 巨大 损失 。 

从 社会 教育 和 意识 形态 角度 来 讲 , 网 络 上 不 健康 的 内 容 ,会 对 社会 的 稳定 和 人 类 的 发 展 
造成 阻碍 ,必须 对 其 进行 控制 。 


4 计算 机 网 络 安全 


1.2.2 网 络 安全 的 属性 


根据 网 络 安全 的 定义 ,网 络 安全 具有 以 下 几 个 方面 的 属性 : 

(1) 机 密 性 。 保 证 信息 与 信息 系统 不 被 非 授 权 的 用 户 、 实 体 或 过 程 所 获取 与 使 用 。 

(2) 完整 性 。 信 息 在 存储 或 传输 时 不 被 修改 .破坏 ,或 不 发 生 信息 包 丢 失 、 乱 序 等 。 

(3) 可 用 性 。 信 息 与 信息 系统 可 被 授权 实体 正常 访问 的 特性 , 即 授权 实体 当 需 要 时 能 
够 存 取 所 需 信息 。 

(4) 可 控 性 。 对 信息 的 存储 于 传播 具有 完全 的 控制 能 力 , 可 以 控制 信息 的 流向 和 行为 方式 。 

(5) 真实 性 。 也 就 是 可 靠 性 , 指 信息 的 可 用 度 , 包 括 信息 的 完整 性 、 准 确 性 和 发 送 人 的 
身份 证 实 等 方面 , 它 也 是 信息 安全 性 的 基本 要 素 。 

其 中 ,机 密 性 、 完 整 性 和 可 用 性 通常 被 认为 是 网 络 安 全 的 三 个 基本 属性 。 

因此 ,从 广义 来 说 ,凡是 涉及 网 络 上 信息 的 保密 性 、 完 整 性 、 可 用 性 、 真 实 性 和 可 控 性 的 
相关 技术 和 理论 都 是 网 络 安全 的 研究 领域 。 网 络 安 全 是 一 门 涉 及 计算 机 科学 、 网 络 技术 、 通 
信和 技术 、 密 码 技术 信息 安全 技术 、 应 用 数学 、 数 论 、 信 息 论 等 多 种 学 科 的 综合 性 学 科 。 


1.2.3 网络 安全 层次 结构 


国际 标准 化 组 织 (ISO) 提 出 的 OSI 模型, 即 开放 系统 互 连 参 考 模型 ,是 一 个 计算 机 互 连 
为 网 络 的 标准 框架 。 但 是 ,目前 事实 上 的 标准 是 TCP/IP 参考 模型 。Internet 网 络 体系 结 
构 就 以 TCP/IP 为 核心 。 基 于 TCP/IP 的 参考 模型 将 计算 机 网 络 体系 结构 分 成 四 个 层次 ， 
分 别 是 : 

(1) 网 络 接口 层 。 对 应 OSI 参考 模型 中 的 物理 层 和 数据 链 路 层 。 

(2) 对 应 于 OSI 网 络 层 ,主要 解决 主机 到 主机 的 通信 问题 。 

(3) 传输 层 。 对 应 于 OSI 参考 模型 的 传输 层 ,为 应 用 层 实 体 提 供 端 到 端的 通信 功能 。 

(4) 应 用 层 。 we ee eed ep 

从 网 络 安全 角度 ,参考 模型 的 各 层 都 能 够 采取 一 定 的 安全 手段 和 措施 ,提供 不 同 的 安全 
服务 。 但 是 ,单独 一 个 层次 无 法 提供 全 部 的 网 络 安全 特性 ,每 个 层次 都 必须 提供 自己 的 安全 
服务 ,共同 维护 网 络 系统 中 信息 的 安全 。 

在 物理 层 , 可 以 在 通信 线路 上 采取 电磁 屏蔽 .电磁 干扰 等 技术 防止 通信 系统 以 电磁 ( 电 
磁 辆 射电 磁 泄露 ) 的 方式 向 外 界 泄露 信息 。 

在 数据 链 路 层 , 对 点 对 点 的 链 路 可 以 采用 通信 保密 机 进行 加 密 ,信息 在 离开 一 台 机 器 进 
入 点 对 点 的 链 路 传输 之 前 可 以 进行 加 密 . 在 进入 另外 一 台 机 器 时 解密 。 所 有 细节 全 部 由 底 
层 硬件 实现 ,高 层 无 法 察觉 。 但 是 这 种 方案 无 法 适应 经 过 多 个 路 由 设备 的 通信 和 链 路 ,因为 在 
每 台 路 由 设备 上 都 要 进行 加 解密 的 操作 .造成 安全 隐患 。 

在 网 络 层 ,使 用 防火 墙 技 术 处 理 经 过 网 络 边 界 的 信息 .确定 来 自 哪 些 地 址 的 信息 可 以 或 
者 禁止 访问 哪些 目的 地 址 的 主机 :以 保护 内 部 网 免 受 非法 用 户 的 访问 。 

在 传输 层 . 可 以 采用 端 到 端的 加 密 . 即 进程 到 进程 的 加 密 . 以 提供 信息 流动 过 程 的 安 
全 性 。 

在 应 用 层 ,主要 是 针对 用 户 身 份 进行 认证 .并 且 可 以 建立 安全 的 通信 信道 

综 上 所 述 , 图 1-2 形象 地 描述 了 网 络 安全 的 层次 。 


应 用 层 安全 
应 用 层 (5 一 7 层 ) 
网 络 层 安 全 /IP 层 安全 
传输 层 与 网 络 层 
(3、4 层 ) 


路 由 器 


物理 层 与 数据 链 路 层 ss 
(1、2 层 ) 


付 路 层 安全 | 
图 1-2 网 络 安 全 层次 


1.2.4 网 络 安 全 模型 


图 1-3 给 出 了 网 络 安全 模型 。 消 息 从 通信 的 一 方 (发 送 方 ) 通 过 Internet 传送 至 另 一 方 
(接收 方 ) ,发 送 方 和 接收 方 是 交互 的 主体 ,必须 协调 努力 共同 完成 消息 交换 的 任务 。 通 过 定 
义 Internet 上 从 发 送 方 到 接收 方 的 路 由 以 及 双方 共同 使 用 的 通信 协议 (如 TCP/IP) 来 建立 
迪 辑 信息 通道 。 

可 信 的 第 三 方 


, 
一 (如 仲裁 者 、 秘 密 信息 的 分 配 者 ) 


发 送 方 信息 通道 接收 方 


安全 变换 “| 安 安 
消 2 | 全 
息 悉 


秘密 信息 攻击 者 
1-3 网络 安全 模型 


当 需 要 保护 信息 传输 以 保证 信息 的 机 密 性 、 完 整 性 、 真 实 性 的 时 候 , 就 会 涉及 网 络 安全 。 
一 般 来 说 ,任何 用 来 保证 安全 的 方法 都 包含 两 个 因素 : 

(1) 发 送 方 对 信息 进行 安全 相关 的 转换 。 例 如 ,对 消息 进行 加 密 , 它 对 消息 进行 变换 ， 
使 得 消息 在 传送 过 程 中 对 攻击 者 不 可 读 ; 或 者 将 基于 消息 的 编码 附 于 消息 后 共同 发 送 , 以 
使 接收 方 可 以 基于 此 编码 验证 发 送 方 的 身份 。 

(2) 双方 共享 某 些 秘密 信息 ,并 希望 这 些 信息 不 为 攻击 者 所 知 。 如 加 密 密 钥 , 它 配合 加 
密 算 法 在 消息 传输 之 前 将 消息 加 密 ,而 在 接收 端 将 消息 解密 。 

为 了 实现 信息 的 安全 传输 ,许多 场合 还 需要 有 可 信 的 第 三 方 。 例 如 ,第 三 方 负责 将 秘密 
信息 分 配给 通信 双方 ,而 对 攻击 者 保密 ; 或 者 当 通 信 双 方 关于 信息 传输 的 真实 性 发 生 争 执 
时 ,由 第 三 方 来 仲裁 。 


6 计算 机 网 络 安全 


上 述 模型 说 明 ,设计 网 络 安全 系统 时 ,应 实现 下 列 4 个 方面 的 任务 : 

(1) 设计 一 个 算法 用 以 实现 和 安全 相关 的 变换 。 该 算法 应 是 攻击 者 无 法 攻破 的 。 

(2) 产生 算法 所 使 用 的 秘密 信息 。 

(3) 设计 分 发 和 共享 秘密 信息 的 方法 ,以 保证 该 秘密 信息 不 为 攻击 者 所 知 。 

(4) 设计 通信 双方 使 用 的 协议 该 协议 利用 安全 算法 和 秘密 信息 提供 安全 服务 。 

图 1-3 所 示 的 网 络 安全 模型 虽 是 一 个 通用 的 模型 ,但 是 还 有 其 他 与 安全 有 关 的 情形 不 
完全 符合 该 模型 ,这 些 情形 的 模型 如 图 1-4 所 示 。 该 模型 可 以 保护 信息 系统 拒绝 非 授权 的 
访问 。 


信息 系统 
攻击 者 计算 机 资源 
。 软 件 (如 病毒 、 数据 
蠕虫) 访问 通道 进程 
门卫 功能 ”| 软件 
内 部 安全 控制 


图 1-4 网 络 访问 安全 模型 


应 对 非 授权 访问 所 需 的 安全 机 制 分 为 两 大 类 : 第 一 类 称 为 网 曾 功 能 , 它 包含 基于 口令 
的 登录 过 程 , 该 过 程 只 允许 授权 用 户 的 访问 ; 第 二 类 称 为 内 部 监控 ,该 程序 负责 检测 和 拒绝 
蠕虫 、 病 毒 以 及 其 他 类 似 的 攻击 。 一 旦 非法 用 户 或 软件 获得 了 访问 权 . 那 么 由 各 种 内 部 控制 
程序 组 成 的 第 二 道 防线 就 监视 其 活动 .分 析 存 储 的 信息 ,以便 检测 非法 入 侵 者 。 


1.3 OSI 安全 体系 结构 


为 了 有 效 评价 一 个 机 构 的 安全 需求 ,以 及 对 各 个 安全 产品 和 政策 进行 评价 和 选择 ,负责 
安全 的 管理 员 需 要 以 某 种 系统 的 方法 来 定义 对 安全 的 要 求 并 刻画 满足 这 些 要 求 的 措施 。 
ISO 于 1989 年 正式 公布 了 ISO 7498-2:“ 信 息 处 理 系 统 - 开 放 系 统 互 连 -基本 参考 模型 -第 2 
部 分 : 安全 体系 结构 ,定义 了 开放 系统 通信 的 环境 中 与 安全 性 有 关 的 通用 体系 结构 元 素 ， 
作为 OSI 基本 参考 模型 的 补充 。 

OSI 安全 体系 结构 主要 关注 安全 攻击 、 安 全 机 制 和 安全 服务 。 可 以 简短 地 定义 如 下 : 

(1) 安全 攻击 。 任 何 危 及 企业 信息 系统 安全 的 活动 。 

(2) 安全 机 制 。 用 来 检测 、 阻 止 攻击 或 者 从 攻击 状态 恢复 到 正常 状态 的 过 程 ,或 实现 该 
过 程 的 设备 。 

(3) 安全 服务 。 加 强 数 据 处 理 系 统 和 信息 传输 的 安全 性 的 一 种 处 理 过 程 或 通信 服务 。 
其 目的 在 于 利用 一 种 或 多 种 安全 机 制 进行 反攻 击 。 


1.3.1 安全 攻击 


网 络 攻击 是 指 降级 ` 瓦解、 拒绝 、 摧 毁 计 算 机 或 计算 机 网 络 中 的 信息 资源 .或 者 降级 、 瓦 
解 、. 拒 绝 、 摧 毁 计 算 机 或 计算 机 网 络 本 身 的 行为 。 在 最 高 层次 上 ,ISO 7498-2 将 安全 攻击 分 
成 两 类 , 即 被 动 攻击 和 主动 攻击 。 被 动 攻击 试图 收集 、 利 用 系统 的 信息 但 不 影响 系统 的 正常 
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访问 ,数据 的 合法 用 户 对 这 种 活动 一 般 不 会 觉察 到 。 主 动 攻击 则 是 攻击 者 访问 他 所 需 信 息 
的 故意 行为 ,一 般 会 改变 系统 资源 或 影响 系统 运作 。 

1. 被 动 攻击 

被 动 攻击 采取 的 方法 是 对 传输 中 的 信息 进行 窃听 和 监测 ,主要 目标 是 获得 传输 的 信息 。 
有 两 种 主要 的 被 动 攻击 方式 : 信息 收集 和 流量 分 析 。 

(1) 信息 收集 造成 传输 信息 的 内 容 泄露 ,如 图 1-5(a) 所 示 。 电 话 、 电 子 邮 件 和 传输 的 文 
件 都 可 能 因 含 有 敏感 或 秘密 的 信息 而 被 攻击 者 所 窃取 。 


Alice 
观察 从 Bob 到 Alice 的 消息 内 容 


Darth 
(b) 流量 分 析 
1-5 被动 攻击 


(2) 采用 流量 分 析 的 方法 可 以 判断 通信 的 性 质 , 如 图 1-5C(b) 所 示 。 为 了 防范 信息 的 汇 
露 ,消息 在 发 送 之 前 一 般 要 进行 加 密 ,使 得 攻击 者 即使 捕获 了 消息 也 不 能 从 消息 里 获得 有 用 
的 信息 。 但 是 ,即使 用 户 进行 了 加 密 保 护 ,攻击 者 仍 可 能 获得 这 些 消 息 模式 。 攻 击 者 可 以 决 
定 通信 主机 的 身份 和 位 置 . 可 以 观察 传输 的 消息 的 频率 和 长 度 。 这 些 信 息 可 以 用 于 判断 通 
信 的 性 质 。 

被 动 攻 击 由 于 不 涉及 对 数据 的 更 改 , 所 以 很 难 察觉 。 典 型 的 情况 是 ,信息 流 表面 上 以 一 
种 常规 的 方式 在 收发 ,收发 双方 谁 也 不 知道 有 第 三 方 已 经 读 了 信息 或 者 观察 了 流量 模式 。 
处 理 被 动 攻击 的 重点 是 预防 而 不 是 检测 。 

2. 主动 攻击 

主动 攻击 包括 对 数据 流 进行 算 改 或 伪造 数据 流 ,可 分 为 四 类 : 伪装 、 重 放 、 修 改 消 息 和 
拒绝 服务 。 其 实现 原理 如 图 1-6 所 示 。 

(1) 伪装 是 指 某 实体 假装 成 别 的 实体 。 典 型 的 比如 : 攻击 者 捕获 认证 信息 ,并 在 其 后 
利用 认证 信息 进行 重 放 , 这 样 它 就 可 能 获得 其 他 实体 所 拥有 的 权限 。 


最 计算 机 网 络 安全 


Internet 或 其 他 通信 设施 
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Alice 
来 自 Darth 的 消息 ， 但 看 上 去 好 


和 中 像 来 自 Bob 


Darth 


(a) 伪装 


Internet 或 其 他 通信 设施 


Bob Alice 
截获 从 Bob 到 Alice 的 消息 ， 


和 呈 “ 


Darth 


(b) 重 放 


Internet 或 其 他 通信 设施 


Alice 
Darth 修 改 从 Bob 


到 Alice 的 消息 


Darth 
(0) 修改 消息 


Internet 或 其 他 通信 设施 


Darth 破 坏 由 服务 人 


SE 


Darth 


(d) 拒绝 服务 
1-6 主动 攻击 


(2) 重 放 是 指 攻击 者 将 获得 的 信息 再 次 发 送 , 从 而 导致 非 授权 效应 。 

(3) 修改 消息 是 指 攻击 者 修改 合法 消息 的 部 分 或 全 部 ,或 者 延迟 消息 的 传输 以 获得 非 
授权 作用 。 

(4) 拒绝 服务 指 攻击 者 设法 让 目标 系统 停止 提供 服务 或 资源 访问 ,从 而 阻止 授权 实体 
对 系统 的 正常 使 用 或 管理 。 典 型 的 形式 有 查禁 所 有 发 向 某 目的 地 的 消息 ,以 及 破坏 整个 网 
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络 , 即 或 者 使 网 络 失效 ,或 者 是 使 其 过 载 以 降低 其 性 能 。 

主动 攻击 与 被 动 攻 击 具有 完全 不 同 的 特点 。 被 动 攻击 虽然 难以 被 检测 ,但 可 以 有 效 地 
预防 。 另 一 方面 ,因为 物理 通信 设施 、 软 件 和 网 络 本 身 所 潜在 的 弱点 具有 多 样 性 ,主动 攻击 
难以 绝对 预防 ,但 容易 检测 。 所 以 ,处 理 主动 攻击 的 重点 在 于 检测 并 从 破坏 或 造成 的 延迟 中 
恢复 过 来 。 因 为 检测 主动 攻击 有 一 种 威慑 效果 ,所 以 也 可 在 某 种 程度 上 阻止 主动 攻击 。 


1.3.2 安全 服务 


OSI 安全 体系 结构 将 安全 服务 定义 为 通信 开放 系统 协议 层 提供 的 服务 ,从 而 保证 系统 
或 数据 传输 有 足够 的 安全 性 。RFC 2828 将 安全 服务 定义 为 : 一 种 由 系统 提供 的 对 系统 资 
源 进行 特殊 保护 的 处 理 或 通信 服务 ; 安全 服务 通过 安全 机 制 来 实现 安全 策略 。 

OSI 安全 体系 结构 定义 了 5 大 类 共 14 个 安全 服务 。 

1. 鉴别 服务 

鉴别 服务 与 保证 通信 的 真实 性 有 关 ., 提 供 对 通信 中 对 等 实体 和 数据 来 源 的 鉴别 。 在 单 
条 消息 的 情况 下 ,鉴别 服务 的 功能 是 向 接收 方 保 证 消息 来 自 所 声称 的 发 送 方 。 对 于 正在 进 
行 的 交互 , 则 涉及 两 个 方面 。 首 先 .在 连接 的 初始 化 阶段 ,鉴别 服务 保证 两 个 实体 是 可 信 的 ， 
也 就 是 说 ,每 个 实体 都 是 他 们 所 声称 的 实体 。 其 次 ,鉴别 服务 必须 保证 该 连接 不 受 第 三 方 的 
干扰 , 即 第 三 方 不 能 够 伪装 成 两 个 合法 实体 中 的 一 个 进行 非 授 权 传 输 或 接收 。 

(1) 对 等 实体 鉴别 。 该 服务 在 数据 交换 连接 建立 时 提供 ,识别 一 个 或 多 个 连接 实体 的 
身份 ,证 实 参与 数据 交换 的 对 等 实体 确实 是 所 需 的 实体 ,防止 假冒 。 

(2) 数据 源 鉴别 。 该 服务 对 数据 单元 的 来 源 提 供 确认 ,向 接收 方 保证 所 接收 到 的 数据 
单元 来 自 所 要 求 的 源 点 。 它 不 能 防止 重播 或 修改 数据 单元 。 

2. 访问 控制 服务 

访问 控制 服务 用 于 防止 未 授权 用 户 非法 使 用 系统 资源 。 该 服务 可 应 用 于 对 资源 的 各 种 
访问 类 型 (如 通信 资源 的 使 用 .信息 资源 的 读 、 写 和 删除 .进程 资源 的 执行 ) 或 对 资源 的 所 有 
访问 。 

3. 数据 保密 性 服务 

为 防止 网 络 各 系统 之 间 交 换 的 数据 被 截获 或 被 非法 存 取 而 泄密 ,提供 机 密 保 护 。 同 时 ， 
对 有 可 能 通过 观察 信息 流 就 能 推导 出 信息 的 情况 进行 防范 。 保 密 性 是 防止 传输 的 数据 遭 到 
被 动 攻击 。 具 体 分 成 以 下 几 种 : 

(1) 连接 保密 性 。 对 一 个 N 连接 中 所 有 N 用 户 数据 提供 机 密 性 保护 。 

(2) 无 连接 保密 性 。 为 单个 无 连接 的 N-SDU(N 层 服务 数据 单元 ) 中 所 有 N 用 户 数 据 
提供 机 密 性 保护 。 

(3) 选择 字段 保密 性 。 为 一 个 N 连接 上 的 N 用 户 数据 或 单个 无 连接 的 N-SDU 内 被 选 
择 的 字段 提供 机 密 性 保护 。 

(4) 信息 流 保密 性 。 提 供 对 可 根据 观察 信息 流 而 分 析出 的 有 关 信 息 的 保护 ,从 而 防止 
通过 观察 通信 业务 流 而 推断 出 消息 的 源 和 宿 、 频 率 、 长 度 或 通信 设施 上 的 其 他 流量 特征 等 

息 
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4. 数据 完整 性 服务 

数据 完整 性 服务 用 于 防止 非法 实体 对 交换 数据 的 修改 .插入 \ 删 除 以 及 在 数据 交换 过 程 
中 的 数据 丢失 。 

(1) 带 恢复 的 连接 完整 。 为 N 连接 上 的 所 有 N 用 户 数据 保证 其 完整 性 。 检 测 在 整个 
SDU 序列 中 任何 数据 的 任何 修改 、 插 入 、 删 除 和 重播 ,并 予以 恢复 。 

(2) 不 带 恢复 的 连接 完整 性 。 与 带 恢 复 连接 完整 性 的 差别 仅 在 于 不 提供 恢复 。 

(3) 选择 字段 的 连接 完整 性 。 为 一 个 N 连接 上 传输 的 N-SDU 的 N 用 户 数据 内 选择 字 
段 保 证 其 完整 性 ,并 以 某 种 形式 确定 该 选择 字段 是 否 已 被 修改 、 插 入 、 删 除 或 重播 。 

(4) 无 连接 完整 性 。 提 供 单 个 无 连接 的 SDU 的 完整 性 ,并 以 某 种 形式 确定 接收 到 的 
SDU 是 否 已 被 修改 。 此 外 ,一 定 程度 上 还 可 以 提供 对 连接 重 放 的 检测 。 

(5) 选择 字段 无 连接 完整 性 。 提 供 在 单个 无 连接 SDU 内 选择 字段 的 完整 性 ,并 以 某 种 
形式 确定 选择 字段 是 否 已 被 修改 。 

5. 抗 否认 性 服务 

抗 否认 性 服务 用 于 防止 发 送 方 在 发 送 数 据 后 否认 发 送 和 接收 方 在 收 到 数据 后 否认 收 到 
或 伪造 数据 的 行为 。 

(1) 具有 源 点 证 明 的 不 能 否认 。 为 数据 接收 者 提供 数据 源 证 明 , 防 止 发 送 者 以 后 任何 
企图 否认 发 送 数据 或 它 的 内 容 。 

(2) 具有 交付 证 明 的 不 能 否认 。 为 数据 发 送 者 提供 数据 交付 证 明 , 防 止 接收 者 以 后 任 
何 企图 否认 接收 数据 或 它 的 内 容 。 


1.3.3 安全 机 制 


为 了 实现 上 述 安全 服务 ,OSI 安全 体系 结构 还 定义 了 安全 机 制 。 

这 些 安全 机 制 可 分 成 两 类 : 一 类 在 特定 的 协议 层 实现 , 另 一 类 不 属于 任何 的 协议 层 或 
安全 服务 。 

下 面 介绍 在 有 关 层 次 设置 的 一 些 安全 机 制 。 

1. 加 密 机 制 

这 种 机 制 提 供 对 数据 或 信息 流 的 保密 ,并 可 作为 其 他 安全 机 制 的 补充 。 加 密 算 法 分 为 
两 种 类 型 : 

(1) 对 称 密 钥 密码 体制 。 加 密 和 解密 使 用 相同 的 秘密 密 钥 。 

(2) 非 对 称 密 钥 密码 体制 。 加 密使 用 公开 密 钥 ,解密 使 用 私人 密 钥 。 

网 络 条 件 下 的 数据 加 密 必然 使 用 密 钥 管理 机 制 。 

2. 数字 签名 机 制 

数字 签名 是 附加 在 数据 单元 上 的 一 些 数据 ,或 是 对 数据 单元 所 作 的 密码 变换 ,这 种 数据 
或 变换 允许 数据 单元 的 接收 方 确认 数据 单元 来 源 和 数据 单元 的 完整 性 ,并 保护 数据 ,防止 被 
人 伪造 。 数 字 签 名 机 制 确定 两 个 过 程 ,对 数据 单元 签名 、 验 证 签 过 名 的 数据 单元 。 

签名 过 程 使 用 签名 者 专用 的 保密 信息 作为 私 用 密 钥 .加 密 一 个 数据 单元 并 产生 数据 单 
元 的 一 个 密码 校 验 值 ; 验证 过 程 则 使 用 公开 的 方法 和 信息 来 确定 签名 是 否 使 用 签名 者 的 专 
用 信息 产生 的 。 但 由 验证 过 程 不 能 推导 出 签名 者 的 专用 保密 信息 。 数 字 签 名 的 基本 特点 是 
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签名 只 能 使 用 签名 者 的 专用 信息 产生 。 

3. 访问 控制 机 制 

访问 控制 机 制 使 用 已 鉴别 的 实体 身份 .实体 的 有 关 信 息 或 实体 的 能 力 来 确定 并 实施 该 
实体 的 访问 权限 。 当 实体 试图 使 用 非 授权 资源 或 以 不 正确 方式 使 用 授权 资源 时 ,访问 控制 
功能 将 拒绝 这 种 企图 并 产生 事件 报警 和 (或 ) 记 录 下 来 作为 安全 审计 跟踪 的 一 部 分 。 

访问 控制 机 制 可 用 以 下 一 种 或 多 种 信息 类 型 为 基础 : 

。 访问 控制 信息 库 。 该 库存 有 对 等 实体 的 访问 权限 ,这 种 信息 可 由 授权 中 心 或 正 被 访 

问 的 实体 保存 。 

。 鉴别 信息 ,如 通行 字 等 。 

。 用 于 证 明 访问 实体 或 资源 的 权限 的 能 力 和 属性 。 

。 按照 安 全 策略 ,许可 或 拒绝 访问 的 安全 标号 。 

。 试图 访问 的 时 间 。 

。 试图 访问 的 路 径 。 

。 访 问 的 持续 时 间 。 

4. 数据 完整 性 机 制 

数据 完整 性 包括 两 个 方面 : 一 是 单个 数据 单元 或 字段 的 完整 性 ,二 是 数据 单元 或 字段 
序列 的 完整 性 。 

确定 单个 数据 单元 完整 性 包括 两 个 过 程 : 

(1) 发 送 实 体 将 数据 本 身 的 某 个 函数 量 ( 称 为 校 验 码 字段 ) 附 加 在 该 数据 单元 上 。 

(2) 接收 实体 产生 一 个 对 应 的 字段 ,与 所 接收 到 的 字段 进行 比较 以 确定 在 传输 过 程 中 
数据 是 否 被 修改 。 但 是 仅 使 用 这 种 机 制 不 能 防止 单个 数据 单元 的 重播 。 

对 连接 型 数据 传输 中 数据 单元 序列 完整 性 的 保护 ,要 求 附 加 明显 的 次 序 关系 。 例 如 , 顺 
序 编号 、. 时 间 戳 或 密码 链 。 对 于 无 连接 型 数据 传输 ,使 用 时 间 改 可 提供 一 种 防止 个 别 数据 单 
元 重播 的 限定 形式 。 

5. 鉴别 交换 机 制 

鉴别 交换 机 制 是 通过 互 换 信息 的 方式 来 确认 实体 身份 的 机 制 。 这 种 机 制 可 使 用 如 下 技 
术 : 发 送 方 实体 提供 鉴别 信息 (如 通行 字 ) ,由 接受 方 实体 验证 ,包括 加 密 技术 .实体 的 特征 
和 (或 ) 属 性 等 。 鉴 别 交换 机 制 可 与 相应 层次 相 结合 以 提供 同等 实体 鉴别 。 

鉴别 交换 机 制 的 选择 取决 于 不 同 的 应 用 场合 : 

(1) 当 对 等 实体 和 通信 方式 两 者 都 可 信和 时 .一 个 对 等 实体 的 验证 可 由 通行 字 实现 。 通 
行 字 可 以 防 错 , 但 不 能 防止 蓄意 破坏 (如 重播 等 )。 每 一 方 使 用 各 自 不 同 的 通行 字 可 以 实现 
交互 鉴别 。 

(2) 当 每 一 实体 信得过 各 自 的 对 等 实体 ,而 通信 方式 不 可 信和 时 ,对 积极 攻击 的 防护 由 通 
行 字 和 加 密 相 结合 实现 。 防 止 重 放 攻击 的 单 向 鉴别 需 两 次 “握手 ,而 具有 重 放 防 护 的 相互 
鉴别 可 由 三 次 “握手 ”实现 。 

(3) 当 一 实体 不 能 (或 感觉 到 将 来 不 能 ) 相 信 对 等 实体 或 通信 方式 时 ,应 使 用 数字 签名 
和 (或 ) 公 证 机 制 以 实现 不 可 否认 服务 。 
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6. 通信 业务 填充 机 制 

通信 业务 填充 机 制 能 用 来 提供 各 种 不 同 级 别 的 保护 ,对 抗 通信 业务 分 析 。 这 种 机 制 产 
生 伪 造 的 信息 流 并 填充 协议 数据 单元 以 达到 固定 长 度 , 有 限 地 防止 流量 分 析 。 只 有 当 信 息 
流 受 加 密 保 护 ,本 机 制 才 有 效 。 

7. 路 由 选择 机 制 

路 由 能 动态 地 或 预定 地 选取 ,以 便 只 使 用 物理 上 安全 的 子 网 络 、 中 继 站 或 链 路 ; 在 检测 
到 持续 的 操作 攻击 时 , 端 系统 可 以 指示 网 络 服务 的 提供 者 经 不 同 的 路 由 建立 连接 ; 带 有 某 
些 安全 标记 的 数据 可 能 被 安全 策略 禁止 通过 某 些 子 网 络 、 中 继 站 或 链 路 。 

这 种 机 制 提供 动态 路 由 选择 或 预 置 路 由 选择 ,以 便 只 使 用 物理 上 安全 的 子 网 .中继站 或 
链 路 。 连 接 的 起 始 端 (或 无 连接 数据 单元 的 发 送 方 ) 可 提出 路 由 申请 ,请 求 特 定子 网 、 链 路 或 
中 继 站 。 端 系统 根据 检测 持续 攻击 网 络 通 信 的 情况 .动态 地 选择 不 同 的 路 由 ,指示 网 络 服务 
的 提供 者 建立 连接 。 根 据 安全 策略 ,禁止 带 有 安全 标号 的 数据 通过 一 般 的 (不 安全 的 ) 子 网 ， 
链 路 或 中 继 站 。 

8. 公证 机 制 

这 种 机 制 确证 两 个 或 多 个 实体 之 间 数 据 通信 的 特征 : 数据 的 完整 性 、 源 点 、 终 点 及 收发 
时 间 。 这 种 保证 由 通信 实体 信赖 的 第 三 者 一 一 公证 员 提 供 。 在 可 检测 方式 下 ,公证 员 掌 握 
用 以 确证 的 必要 信息 。 公 证 机 制 提供 服务 还 使 用 到 数字 签名 、 加 密 和 完整 性 服务 。 

除了 以 上 8 种 基本 的 安全 机 制 外 .还 有 一 些 辅助 的 安全 机 制 。 它 们 不 明确 对 应 于 任何 
特定 的 层次 和 服务 ,但 其 重要 性 直接 和 系统 要 求 的 安全 等 级 有 关 。 

(1) 可 信 功 能。 系统 的 软 、 硬 件 应 是 可 信 的 。 获 得 可 信 的 方法 包括 形式 证 明 法 、 检 验 和 
确认 、 对 攻击 的 检测 和 记录 ,以 及 在 安全 环境 中 由 可 信和 成 员 构 造 实体 。 

(2) 安全 标签 。 给 资源 (包括 数据 项 ) 附 上 安全 标签 ,表示 其 安全 敏感 程度 。 安 全 标签 
可 以 是 与 数据 传输 有 关 的 附加 数据 ,也 可 以 是 隐 含 的 ,如 特定 的 密 钥 。 

(3) 事件 检测 。 包 括 检 测 与 安全 有 关 的 事件 (如 违反 安全 的 事件 .特定 的 选择 事件 、 事 
件 计 数 洲 出 等 ) 以 及 检测 “正常 "事件 (如 一 次 成 功 的 访问 )。 

(4) 安全 审计 跟踪 。 独 立地 回顾 和 检查 系统 有 关 的 记录 和 活动 以 测试 系统 控制 的 充分 
性 。 提 供 安全 性 违反 的 检测 与 调查 ,保证 已 建立 的 安全 策略 和 操作 过 程 的 一 致 性 。 帮 助 损 
害 评估 ,并 推荐 有 关 改 进 系统 控制 .安全 策略 和 操作 过 程 的 指示 。 

(5) 安全 恢复 。 受 理事 件 检 测 处 理 和 管理 职能 机 制 的 请 求 , 并 应 用 一 组 规则 来 采取 恢 
复 行动 。 恢 复 行动 有 三 种 : 一 是 立即 行动 。 立 即 中 止 操作 ,如 切断 连接 。 二 是 暂时 行动 。 
使 实体 暂时 失效 。 三 是 长 期 行动 。 使 实体 进入 “空白 表 ” 或 改变 密 钥 。 

表 1-2 给 出 了 安全 服务 和 安全 机 制 的 关系 。 

表 1-2 安全 服务 和 安全 机 制 的 关系 


服 务 加 密 | 数字 签名 | 访问 控制 | 数据 完整 性 | 认证 交换 | 流量 填充 | 路 由 控制 公证 
同等 实体 认证 村 到 Y 
数据 源 认 证 Bg 量 
访问 控制 YY 


续 表 
服 务 加 密 “| 数字 签名 | 访问 控制 | 数据 完整 性 | 认证 交换 | 流量 填充 | 路 由 控制 公证 
保密 性 于 和 
流量 保密 性 Y Y 可 
数据 完整 性 ¥ ¥ 
不 可 否认 性 对 至 
可 用 性 生 


注 : Y 表示 该 服务 应 包含 在 该 层 的 标准 中 以 供 选 择 , 空 白 则 表示 不 提供 这 种 服务 。 


1.4 网络 安全 防护 体系 


网 络 安 全 防护 体系 是 基于 安全 技术 集成 的 基础 之 上 ,依据 一 定 的 安全 策略 建立 起 来 的 。 
1.4.1 网 络 安全 策略 

网 络 安全 策略 是 网 络 安全 系统 的 灵魂 与 核心 ,是 在 一 个 特定 的 环境 里 ,为 保证 提供 一 定 
级 别 的 安全 保护 所 必须 遵守 的 规则 集合 。 网 络 安全 策略 的 提出 ,是 为 了 实现 各 种 网 络 安全 
技术 的 有 效 集 成 ,构建 可 靠 的 网 络 安 全 系统 。 

网 络 安全 策略 主要 包含 5 个 方面 的 策略 。 

1. 物理 安全 策略 

物理 安全 策略 的 目的 是 保护 计算 机 系统 .网 络 服务 器 .打印 机 等 硬件 实体 和 通信 和 链 路 免 
受 自然 灾害 及 人 为 破坏 ; 验证 用 户 的 身份 和 使 用 权限 、 防 止 用 户 越权 操作 ; 确保 计算 机 系 
统 有 一 个 良好 的 电磁 兼容 工作 环境 ; 建立 完备 的 安全 管理 制度 ,防止 非法 进入 计算 机 控制 
和 各 种 偷 守 .破坏 活动 的 发 生 。 

2. 访问 控制 策略 

访问 控制 是 网 络 安全 防范 和 保护 的 主要 策略 . 它 的 主要 任务 是 保证 网 络 资源 不 被 非法 
使 用 和 访问 。 它 也 是 维护 网 络 系统 安全 :保护 网 络 资源 的 重要 手段 。 

3. 防火 墙 控制 

防火 墙 是 一 个 用 以 阻止 网 络 中 的 黑客 访问 某 个 机 构 网 络 的 屏障 .也 可 以 称 之 为 控制 进 
出 两 个 方向 通信 的 门槛 。 在 网 络 边 界 上 通过 建立 起 来 的 相应 网 络 通信 监控 系统 来 隔离 内 部 
和 外 部 网 络 , 以 阻挡 外 部 网 络 的 侵入 。 

4. 信息 加 密 策略 

信息 加 密 的 目的 是 保护 网 内 的 数据 .文件 .口令 和 控制 信息 .保护 网 上 传输 的 数据 。 

5. 网 络 安全 管理 策略 

在 网 络 安全 中 ,除了 采用 上 述 技 术 措施 之 外 ,加强 网 络 的 安全 管理 ,制定 有 关 规 章 制 度 ， 
对 于 确保 网 络 的 安全 .可 靠 地 运行 ,将 起 到 十 分 有 效 的 作用 。 网 络 的 安全 管理 策略 包括 确定 
安全 管理 等 级 和 安全 管理 范围 ,制定 有 关 网 络 操作 使 用 规程 和 人 员 出 人 机 房管 理 制度 ,制定 
网 络 系统 的 维护 制度 和 应 急 措 施 等 。 
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1.4.2 网 络 安全 体系 


网 络 安全 体系 是 由 网 络 安全 技术 体系 、 网 络 安全 组 织 体 系 和 网 络 安全 管理 体系 三 部 分 
组 成 ,三 者 相辅相成 ,只 有 协调 好 三 者 的 关系 ,才能 有 效 地 保护 网 络 的 安全 。 

1. 网 络 安全 技术 体系 

通过 对 网 络 的 全 面 了 解 ,按照 安全 策略 的 要 求 ,整个 网 络 安全 技术 体系 由 以 下 几 个 方面 
组 成 : 物理 安全 .计算 机 系统 平台 安全 .通信 安全 应 用 系统 安全 。 

1) 物理 安全 

通过 机 械 强 度 标准 的 控制 ,使 信息 系统 所 在 的 建筑 物 、 机 房 条 件 及 硬件 设备 条 件 满足 信 
息 系统 的 机 械 防护 安全 ; 通过 采用 电磁 屏蔽 机 房 、 光 通信 接 人 或 相关 电磁 干扰 措施 降低 或 
消除 信息 系统 系统 硬件 组 件 的 电磁 发 射 造成 的 信息 泄露 ; 提高 信息 系统 组 件 的 接收 灵敏 度 
和 滤波 能 力 ,使 信息 系统 组 件 具 有 抗击 外 界 电磁 辐射 或 噪声 干扰 能 力 而 保持 正常 运行 。 

物理 安全 除了 包括 机 械 防 护 、 电 磁 防 护 安全 机 制 外 ,还 包括 限制 非法 接 入 、 抗 摧毁 、 报 
警 恢复 、 应 急 响 应 等 多 种 安全 机 制 。 

2) 计算 机 系统 平台 安全 

指 计算 机 系统 能 够 提供 的 硬件 安全 服务 与 操作 系统 安全 服务 。 

计算 机 系统 在 硬件 上 主要 通过 存储 器 安全 机 制 .运行 安全 机 制 和 1/O 安全 机 制 提供 一 
个 可 信 的 硬件 环境 ,实现 其 安全 目标 。 

操作 系统 的 安全 是 通过 身份 识别 .访问 控制 .完整 性 控制 与 检查 .病毒 防护 .安全 审计 等 
机 制 的 综合 使 用 ,为 用 户 提供 可 信 的 软件 计算 环境 。 

3) 通信 安全 

ISO 发 布 的 ISO 7498-2 是 一 个 开放 互 连 系统 的 安全 体系 结构 。 它 定义 了 许多 术语 和 
概念 ,并 建立 了 一 些 重要 的 结构 性 准则 。OSI 安全 体系 通过 技术 管理 将 安全 机 制 提供 的 安 
全 服务 分 别 或 同时 对 应 到 OSI 协议 层 的 一 层 或 多 层 上 ,为 数据 .信息 内 容 和 通信 连接 提供 
机 密 性 、 完 整 性 安全 服务 ,为 通信 实体 .通信 连接 和 通信 进程 提供 身份 鉴别 安全 服务 。 

4) 应 用 系统 安全 

应 用 级 别 的 系统 千变万化 ,而 且 各 种 新 的 应 用 在 不 断 推出 。 相 应 地 ,应 用 级 别 的 安全 也 
不 像 通信 或 计算 机 系统 安全 体系 那样 ,容易 统一 到 一 些 框架 结构 之 下 。 对 应 用 而 言 , 将 采用 
一 种 新 的 思路 ,把 相关 系统 分 解 为 若干 事务 来 实现 ,从 而 事务 安全 就 成 为 应 用 安全 的 基本 组 
件 。 通 过 实现 通用 事务 的 安全 协议 组 件 ,以 及 提供 特殊 事务 安全 所 需要 的 框架 和 安全 运算 
支撑 ,从 而 推动 在 不 同 应 用 中 采用 同样 的 安全 技术 。 

2. 网 络 安全 管理 体系 

面 对 网 络 安全 的 脆弱 性 .除了 在 网 络 设计 上 增加 了 安全 服务 功能 .完善 系统 的 安全 保密 
措施 外 ,还 必须 花 大 力气 加 强 网 络 的 安全 管理 。 网 络 安全 管理 体系 由 法 律 管理 .制度 管理 和 
培训 管理 三 部 分 组 成 。 

1) 法 律 管 理 

法 律 管理 是 根据 相关 的 国家 法 律 ,法规 对 信息 系统 主体 及 其 与 外 界 关 联 行为 的 规范 和 
约束 。 法 律 管理 具有 对 信息 系统 主体 行为 的 强制 性 约束 力 , 并 且 有 明确 的 管理 层次 性 。 与 
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安全 有 关 的 法 律 法 规 是 信息 系统 安全 的 最 高 行为 准则 。 

2) 制度 管理 

制度 管理 是 信息 系统 内 部 依据 系统 必要 的 国家 、 团 体 的 安全 需求 制定 的 一 系列 内 部 规 
章 制度 ,主要 内 容 包 括 安全 管理 和 执行 机 构 的 行为 规范 、 岗 位 设 定 及 其 操作 规范 、 岗 位 人 员 
的 素质 要 求 及 行为 规范 、 内 部 关系 与 外 部 关系 的 行为 规范 等 。 制 度 管理 是 法 律 管理 的 形式 
化 .具体 化 ,是 法 律 ,法规 与 管理 对 象 的 接口 。 

3) 培训 管理 

培训 管理 是 确保 信息 系统 安全 的 前 提 。 培 训 管理 的 内 容 包括 法 律 法 规 培训 .内 部 制度 
培训 、` 岗 位 操作 培训 、 普 通 安全 意识 和 岗位 相关 的 重点 安全 意识 相 结合 的 培训 .业务 素质 与 
技能 技巧 培训 等 。 培 训 的 对 象 不 仅仅 是 从 事 安 全 管理 和 业务 的 人 员 ,而 应 包括 信息 系统 有 
关 的 所 有 人 员 。 
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密码 是 通信 双方 按 约定 的 法 则 对 信息 进行 特定 变换 的 一 种 重要 保密 手段 。 密 码 学 是 实 
现 网 络 安全 服务 和 安全 机 制 的 基础 ,是 网 络 安全 的 核心 技术 ,在 网 络 安全 领域 占有 不 可 替代 
的 重要 地 位 。2. 1 节 介 绍 密码 学 的 基本 概念 ,2. 2 节 一 2.7 节 介 绍 对 称 密码 学 。 


2.1 密码 学 基本 概念 


密码 学 是 研究 密码 编制 和 密码 分 析 的 规律 和 手段 的 技术 科学 。 研 究 密码 变化 的 客观 规 
律 , 设 计 各 种 加 密 方案 ,编制 密码 以 保护 信息 安全 的 技术 , 称 为 密码 编码 学 。 在 不 知道 任何 
加 密 细 节 的 条 件 下 ,分析 、 破 译 经 过 加 密 的 消息 以 获取 信息 的 技术 , 称 为 密码 分 析 学 或 密码 
破译 学 。 密 码 编码 学 和 密码 分 析 学 总 称 密 码 学 。 密 码 学 为 解决 网 络 安全 中 的 机 密 性 、 数 据 
完整 性 .认证 ,不 可 抵赖 性 等 提供 系统 的 理论 和 方法 。 

在 密码 学 中 ,原始 的 消息 称 为 明文 .而 加 密 后 的 消息 称 为 密 文 。 将 明文 变换 成 密 文 ,以 
使 非 授权 用 户 不 能 获取 原始 信息 的 过 程 称 为 加 密 ; 从 密 文 恢复 明文 的 过 程 称 为 解密 。 明 文 
到 密 文 的 变换 法 则 , 即 加 密 方案 . 称 为 加 密 算 法 ; 而 密 文 到 明文 的 变换 法 则 称 为 解密 算法 。 
加 /解密 过 程 中 使 用 的 明文 - 密 文 的 其 他 参数 , 称 为 密 钥 。 

密码 学 的 模型 如 图 2-1 所 示 。 


密 文 c=En(m) 


密 钥 有 密 名 
明文 | | 明文 
m m=Di,(c) 
一 一 |_ 加密 算 法 | 一 一 [ 公开 信道 | 一 | 解密 算法 上 一 

I 


(密码 分 析 


2-1 密码 学 模型 


一 个 用 于 加 解密 并 能 够 解决 网 络 安全 中 的 机 密 性 、 完 整 性 、 可 用 性 、 可 控 性 和 真实 性 等 
问题 中 的 一 个 或 几 个 的 系统 , 称 为 一 个 密码 体制 。 密 码 体制 可 以 定义 为 一 个 五 元 组 (P.,C， 
K,E,D) ,其 中 : 

。 也 称 为 明文 空间 ,是 所 有 可 能 的 明文 构成 的 集合 。 

。C 称 为 密 文 空间 ,是 所 有 可 能 的 密 文 构成 的 集合 。 

*。 天 称 为 密 钥 空间 .是 所 有 可 能 的 密 钥 构成 的 集合 。 

。 太 筷 分 别 表示 加 密 算法 和 解密 算法 的 集合 ,它们 满足 : 对 每 一 个 AE 开 ,必然 存在 一 

个 加 密 算 法 e: EK 和 一 个 解密 算法 di EK .使 得 对 任意 mEP, 恒 有 di (ei (1m)) 二 m。 

根据 加 解密 是 否 使 用 相同 的 密 钥 ,可 将 密码 体制 分 为 对 称 密码 和 非 对 称 密码 。 对 称 密 
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码 体制 也 叫 单 钥 密 码 体制 .秘密 密 钥 密码 体制 .而 非 对 称 密码 体制 也 称 为 公 钥 (公开 密 钥 ) 密 
码 体制 。 在 对 称 密码 体制 中 ,加 密 和 解密 使 用 完全 相同 的 密 钥 .或 者 加 密 密 钥 和 解密 密 钥 彼 
此 之 间 非 常 容 易 推导 。 在 公 钥 密码 体制 中 ,加 密 和 解密 使 用 不 同 的 密 钥 。 

从 技术 上 讲 ,一 个 密码 体制 的 安全 性 取决 于 所 使 用 的 密码 算法 的 强度 。 对 一 个 密码 体 
制 来 说 ,如 果 无 论 攻 击 者 获得 多 少 可 使 用 的 密 文 ,都 不 足以 唯一 地 确定 由 该 体制 产生 的 密 文 
所 对 应 的 明文 , 则 该 密码 体制 是 无 条 件 安全 的 。 除 了 一 次 一 密 , 其 他 所 有 的 加 密 算法 都 不 是 

无 条 件 安全 的 。 因 此 .实际 应 用 中 的 加 密 算法 应 该 尽量 满足 以 下 标准 : 

(1) 破译 密码 的 代价 超出 密 文 信息 的 价值 。 

(2) 破译 密码 的 时 间 超 出 密 文 信息 的 有 效 生命 期 。 

满足 了 上 述 两 条 标准 的 加 密 体制 是 计算 上 安全 的 。 对 一 个 计算 上 安全 的 密码 体制 , 虽 
然 理 论 上 可 以 破译 ,但 是 由 获得 的 密 文 以 及 某 些 明文 - 密 文 对 来 确定 明文 , 却 需要 付出 巨大 
的 代价 ,因而 不 能 在 希望 的 时 间 内 或 实际 可 能 的 条 件 下 求 出 准确 答案 。 

对 于 密码 体制 来 说 ,一 般 有 两 种 攻击 方法 : 

(1) 密码 分 析 攻 击 。 攻 击 依 赖 于 加 密 / 解 密 算法 的 性 质 和 明文 的 一 般 特 征 或 某 些 明 密 
文 对 。 这 种 攻击 企图 利用 算法 的 特征 来 恢复 出 明文 ,或 者 推导 出 使 用 的 密 钥 。 

(2) 穷 举 攻击 。 攻 击 者 对 一 条 密 文 尝 试 所 有 可 能 的 密 钥 ,直到 把 它 转 化 为 可 读 的 有 意 
义 的 明文 。 

根据 攻击 者 掌握 的 信息 .将 密码 分 析 攻 击 分 成 了 几 种 类 型 ,如 表 2-1 所 示 。 

表 2-1 密码 分 析 攻 击 


攻击 类 型 密码 分 析 者 已 知 的 信息 
加 密 算法 
惟 密 文 攻击 。 | 要 解密 的 密 文 
加 密 算法 


已 知 明文 攻击 | 要 解密 的 密 文 

(与 待 解 的 密 文 ) 同 一 密 钥 加 密 的 一 个 或 多 个 明 密 文 对 

加 密 算法 

选择 明文 攻击 | 要 解密 的 密 文 

分 析 者 任意 选择 的 明文 ,及 对 应 的 密 ( 与 待 解 的 密 文 使 用 同一 密 钥 加 密 ) 

加 密 算 法 

分 析 者 有 目的 选择 的 一 些 密 文 ,以 及 对 应 的 明文 (与 待 解 的 密 文 使 用 同一 密 钥 解密 ) 


(1) 惟 密 文 攻击 。 攻 击 者 在 仅 已 知 密 文 的 情况 下 ,企图 对 密 文 进行 解密 。 这 种 攻击 是 
最 容易 防范 的 ,因为 攻击 者 拥有 的 信息 量 最 少 。 

(2) 已 知 明文 攻击 。 攻 击 者 获得 了 一 些 密 文 信息 及 其 对 应 的 明文 ,也 可 能 知道 某 段 明 
文 信息 的 格式 等 。 例 如 ,特定 领域 的 消息 往往 有 标准 化 的 文件 头 。 

(3) 选择 明文 攻击 。 攻 击 者 可 以 选择 某 些 他 认为 对 攻击 有 利 的 明文 ,并 获取 其 相应 的 
密 文 。 如 果 分 析 者 能 够 通过 某 种 方式 ,让 发 送 方 在 发 送 的 信息 中 插入 一 段 由 他 选择 的 信息 ， 
那么 选择 明文 攻击 就 有 可 能 实现 。 

(4) 选择 密 文 攻击 。 密 码 攻击 者 事先 搜集 一 定数 量 的 密 文 , 让 这 些 密 文 透 过 被 攻击 的 
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加 密 算法 解密 ,从 而 获得 解密 后 的 明文 。 

以 上 几 种 攻击 的 强度 依次 增强 。 如 果 一 个 密码 体制 能 够 抵抗 选择 密 文 攻击 , 则 它 能 抵 
抗 其 余 三 种 攻击 。 

使 用 计算 机 来 对 所 有 可 能 的 密 钥 组 合 进行 测试 ,直到 有 一 个 合法 的 密 钥 能 够 把 密 文 还 
原 成 明文 ,这 就 是 穷 举 攻击 。 平 均 来 说 ,要 获得 成 功 必须 尝试 所 有 可 能 密 钥 的 一 半 。 


2.2 对 称 密 码 


对 称 加 密 是 20 世纪 70 年 代 公 钥 密码 产生 之 前 唯一 的 加 密 类 型 。 迄 今 为 止 , 它 仍 是 两 
种 类 型 的 加 密 中 使 用 最 为 广泛 的 加 密 类 型 。 
对 称 密码 的 模型 见 图 2-2, 共 包括 5 个 成 分 。 


加 密 算法 


密 钥 源 
图 2-2 对 称 密码 模型 


。 明文 : 原始 的 信息 ,也 就 是 需要 被 密码 保护 的 信息 、 加 密 算法 的 输入 。 
。 加 密 算法 : 加 密 算法 对 明文 进行 各 种 代 换 和 变换 ,使 之 成 为 不 可 读 的 形式 。 
。 密 钥 : 密 钥 也 是 加 密 算法 的 输入 。 密 钥 独 立 于 明文 。 算 法 将 根据 所 用 的 特定 密 钥 
而 产生 不 同 的 输出 。 
。 密 文 : 作为 加 密 算法 的 输出 ,看 起 来 完全 随机 而 杂乱 的 数据 ,依赖 于 明文 和 密 钥 。 
密 文 是 随机 的 数据 流 . 并 且 其 意义 是 不 可 理解 的 。 
。 解密 算法 : 本 质 上 是 加 密 算法 的 逆 运 行 ,可 以 从 加 密 过 的 信息 中 得 到 原始 信息 。 
如 图 2-2 所 示 ,发 送 方 产生 明文 消息 M, 并 产生 一 个 密 钥 K。 通 过 某 种 安全 通道 ,发 送 
方 将 密 钥 告知 给 接收 方 。 另 一 种 方法 是 由 双方 共同 信任 的 第 三 方 生成 密 钥 后 再 安全 地 分 发 
给 发 送 方 和 接收 方 。 
加 密 算法 巨 根据 输入 信息 M 和 密 钥 玉生 成 密 文 C : 
C= E(K,M) 
该 式 表明 密 文 C 是 明文 M 和 密 钥 KK 的 函数 。 对 于 给 定 的 明文 ,不 同 的 密 钥 将 产生 不 
同 的 密 文 , 拥 有 密 钥 K 的 期 望 接收 者 .可 以 执行 解密 算法 D 以 从 密 文 中 恢复 明文 : 
M 一 DCK,C) 
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一 般 情 况 下 ,加 密 算法 EE 和 解密 算法 DD 是 公开 的 ,并 且 密 码 攻击 者 知道 可 以 通过 相对 
较 小 的 努力 获得 密 文 C。 但 是 密码 攻击 者 并 不 知道 K 和 M ,而 企图 得 到 K 和 M ,或 二 者 之 
一 。 那 么 ,密码 分 析 者 将 通过 计算 密 钥 的 估计 值 来 恢复 ,计算 明文 的 估计 值 来 恢复 M。 

为 了 保证 通信 的 安全 性 ,对 称 密码 体制 要 满足 如 下 两 个 要 求 : 

(1) 加 密 算 法 具有 足够 的 强度 , 即 破解 的 难度 足够 高 。 最 起 码 的 ,即使 攻击 方 拥有 一 定 
数量 的 密 文 和 产生 这 些 密 文 的 明文 ,他 (或 她 ) 也 不 能 破译 密 文 或 发 现 密 钥 。 算 法 强度 除了 
依赖 算法 本 身 外 ,还 依赖 于 密 钥 的 长 度 。 密 钥 越 长 , 则 强度 越 高 。 

(2) 发 送 者 和 接收 者 必须 能 够 通过 某 种 安全 的 方法 获得 密 钥 ,并 且 密 钥 也 是 安全 的 。 
一 般 来 讲 , 加 密 和 解密 的 算法 都 是 公开 的 。 如 果 攻 击 者 掌握 了 密 钥 ,那么 就 能 读 出 使 用 该 密 
钥 加 密 的 所 有 通信 。 


2.3 占 典 密码 学 


密码 学 有 着 悠久 的 历史 。 早 在 公元 前 1900 年 左右 ,一 个 埃及 书 吏 就 在 碑文 中 使 用 了 非 
标准 的 象形 文字 ,这 或 许 是 目前 已 知 的 最 早 的 密码 术 实 例 。 公 元 前 600 年 至 公元 前 500 年 
左右 , 希 伯 来 人 基于 替换 的 原理 ,开发 了 三 种 加 密 方法 。 一 个 字母 表 的 字母 与 男 一 个 字母 表 
的 字母 配对 ,通过 配对 字母 替换 明文 字母 ,达到 加 密 的 目的 。 关 于 密码 学 的 早期 主要 著作 出 
现在 15 世纪 阿拉 伯 科 学 家 al-Qalqashandi 的 百科 全 书 第 14 卷 中 , 它 也 是 最 早 的 密码 分 析 
学 著作 之 一 。 

1949 年 C. Shannon 发 表 “ 保 密 系统 的 通信 理论 ”. 为 密码 学 的 发 展 葛 定 了 理论 基础 ,使 
密码 学 成 为 一 门 真 正 的 科学 。 在 此 之 前 的 密码 技术 算 不 上 真正 的 科学 。 那 时 的 密码 学 家 凭 
借 直 觉 进 行 密码 分 析 和 设计 ,以 纸 和 笔 进行 手工 方式 的 加 密 和 解密 操作 。 这 样 的 密码 技术 
称 之 为 古典 密码 学 。 古 典 密 码 技术 以 字符 为 基本 加 密 单 元 ,大 都 比较 简单 .经 受 不 住 现代 密 
码 分 析 手 段 的 攻击 ,因此 已 很 少 使 用 。 但 是 ,在 漫长 的 发 展演 化 过 程 中 ,古典 密码 学 充分 体 
现 了 现代 密码 学 的 两 大 基本 思想 : 置换 和 代 换 .还 将 数学 的 方法 引入 到 密码 分 析 和 研究 中 。 
这 为 后 来 密码 学 成 为 系统 的 学 科 以 及 相关 学 科 的 发 展商 定 了 坚实 的 基础 。 通 过 研究 古典 密 
码 , 可 以 有 助 于 我 们 理解 分析、 设计 现代 密码 技术 。 

对 于 古典 密码 ,有 如 下 约定 : 加 解密 时 忽略 空格 和 标点 符号 。 这 是 因为 如 果 保 留 空格 
和 标点 , 密 文 会 保持 明文 的 结构 特点 ,为 攻击 者 提供 了 便利 ; 而 解密 时 正确 地 还 原 这 些 空格 
和 标点 符号 是 非常 容易 的 。 

2.3.1 置换 技术 

对 明文 字符 按 某 种 规律 进行 位 置 的 交换 而 形成 密 文 的 技术 称 为 置换 。 置 换 加 密 技术 对 
明文 字母 串 中 的 字母 位 置 进行 重新 排列 ,而 每 个 字母 本 身 并 不 改变 。 在 置换 密码 体系 中 ,为 
了 通信 安全 性 ,必须 保证 仅 有 发 送 方 和 接收 方 知道 加 密 置 换 和 对 应 的 解密 置换 。 

1. 栅栏 密码 


栅栏 技术 是 最 简单 的 置换 技术 。 栅 栏 密码 把 要 加 密 的 明文 分 成 N 个 一 组 ,然后 把 每 组 
的 第 一 个 字符 连 起 来 ,再 加 上 第 二 个 、 第 三 个 …… :以 此 类 推 。 本 质 上 ,是 把 明文 字母 一 列 一 
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列 ( 列 高 就 是 N) 组 成 一 个 矩阵 ,然后 一 行 一 行 的 读 出 。 
如 果 令 N= 二 2, 则 是 最 常见 的 2 线 栅栏 。 假 设 明文 如 下 : 
THE LONGEST DAY MUST HAVE AN END. 
去 除 空格 后 ,两 两 组 成 一 组 ,得 到 : 
TH EL ON GE ST DA YM US TH AV EA NE ND 
取 每 组 的 第 一 个 字母 ,得 到 : 
TEOGSDYUTAENN 
再 都 取 第 二 个 字母 : 
HLNETAMSHVAED 
连 在 一 起 就 是 最 终 的 密 文 : 
TEOGSDYUTAENNHLNETAMSHVAED 
而 解密 的 方式 则 是 进行 一 次 逆 运 算 。 先 将 密 文 分 为 两 行 : 
TEOGSDYUTAENN 
HLNETAMSHVAED 
再 按 列 读 出 ,组 合成 一 句 话 : 
THE LONGEST DAY MUST HAVE AN END. 
一 种 更 复杂 的 方案 是 把 消息 按 固定 长 度 分 组 ,每 组 写成 一 行 , 则 整个 消息 被 写成 一 个 矩 
形 块 ,然后 按 列 读 出 ,但 是 把 列 的 次 序 打 乱 。 列 的 次 序 就 是 算法 的 密 钥 。 例 如 : 


密 钥 3412567 
明文 attackp 
ostpone 
duntilt 
Woamxyz 
密 文 TTNAAPTMTSUOAODWCOIXKNLYPETZ 


单纯 的 置换 密码 加 密 得 到 的 密 文 中 ,有 着 与 原始 明文 相同 的 字母 频率 特征 ,因而 较 容易 
被 识破 。 而 且 , 双 字母 音节 和 三 字母 音节 分 析 办 法 更 是 破译 这 种 密码 的 有 力 工 具 。 
2. 多 步 置换 
多 步 置 换 密码 相对 来 讲 要 复杂 得 多 ,这 种 置换 是 不 容易 构造 出 来 的 。 前 面 那 条 消息 用 
相同 算法 再 加 密 一 次 : 
密 钥 4312567 
明文 ttnaapt 
mtsuoao 
dwcoixk 


nlypetz 
密 文 NSCYAUOPTTWLTMDNAOIEPAXTTOKZ 


经 过 两 次 置换 ,字母 的 排列 已 经 没有 什么 规律 了 ,对 密 文 的 分 析 要 困难 得 多 。 
2.3.2 代 换 技术 


代 换 是 古典 密码 中 最 基本 的 处 理 技巧 ,在 现代 密码 学 中 也 得 到 了 广泛 应 用 。 代 换 法 是 
将 明文 字母 用 其 他 字母 ,数字 或 符号 替换 的 一 种 方法 。 如 果 明 文 是 二 进 制 序 列 ,那么 代 换 就 
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是 用 密 文 位 串 来 代 换 明文 位 串 。 代 换 密码 要 建立 一 个 或 多 个 蔡 换 表 , 加 密 时 将 需要 加 密 的 
明文 字母 依次 通过 查 表 ,替换 为 相应 的 字符 。 明 文字 符 被 逐个 替换 后 ,生成 无 意义 的 字符 
串 , 即 密 文 。 这 样 的 替换 表 就 是 密 钥 。 有 了 这 个 密 钥 ,就 可 以 进行 加 解密 了 。 
1. Caesar 密码 
人 类 第 一 次 有 史料 记载 的 密码 是 由 Julius Caesar 发 明 的 Caesar 密码 。Caesar 密码 的 
明文 空间 和 密 文 空间 都 是 26 个 英文 字母 的 集合 .加 密 算法 非常 简单 ,就 是 对 每 个 字母 用 它 
之 后 的 第 3 个 字母 来 代 换 。 例 如 : veni,vidi,vici(“ 我 来 ,我 见 ,我 征服 ”, 恺 撒 征 服 本 都 王 法 
那 西 斯 后 向 罗马 元 老 院 宣告 的 名 言 ) 。 
明文 : venividivici 
密 文 : YHALYLGLYLFL 
既然 字母 表 是 循环 的 ,因此 2 后面 的 字母 是 A。 通 过 列 出 所 有 可 能 ,能 够 定义 如 下 所 示 
的 花 换 表 , 即 密 钥 。 
明文 :abcdefghijklmnopqrstuvwxyz 
密 文 ;: DEFGHIJKLMNOPQRSTUVWXYZABC 
如 果 为 每 一 个 字母 分 配 一 个 数值 (a 分 配 0,b 分 配 1, 以 此 类 推 ,z 分配 25)。 令 p 代表 
明文 ,C 代表 密 文 , 则 Caesar 算法 能 偶 用 如 下 的 公式 表示 : 
C=E(3,p)=(p+3)mod 26 
如 果 对 字母 表 中 的 每 个 字母 用 它 之 后 的 第 & 个 字母 来 代 换 ,而 不 是 固定 用 后 面 第 3 个 
字母 , 则 得 到 了 一 般 的 Caesar 算法 : 
C=E(k,p)= (P++k)mod 26 
这 里 & 的 取 值 范围 为 1 一 25, 即 一 般 的 Caesar 算法 有 25 个 可 能 的 密 钥 。 
相应 的 解密 算法 是 : 
P=D(k,C)=(C—k)mod 26 
如 果 已 知 某 给 定 的 密 文 是 Caesar 密码 ,那么 穷 举 攻击 密码 学 分 析 是 很 容易 实现 的 : 只 
要 简单 地 测试 所 有 25 种 可 能 的 密 钥 。Caesar 密码 的 三 个 重要 特征 使 人 们 可 以 采用 穷 举 攻 
击 分 析 方 法 : 
(1) 加 密 和 解密 算法 已 知 。 
(2) 密 钥 空间 大 小 只 有 25 。 
(3) 明文 所 用 的 语言 是 已 知 的 , 且 其 意义 易于 识别 。 
2. 单 表 代 换 密码 
Caesar 密码 仅 有 25 种 可 能 的 密 钥 ,是 很 不 安全 的 。 通 过 允许 任意 代 换 , 密 钥 空间 将 会 
急剧 增 大 。Caesar 密码 的 代 换 规则 ( 密 钥 ) 如 下 : 
明文 :abcdefghijklmnopqrstuvwxyz 
密 文 : DEFGHIJKLMNOPQRSTUVWXYZABC 
如 果 人 允许 密 文 行 是 26 个 字母 的 任意 置换 ,那么 就 有 261! (大 于 4X10”) 种 可 能 的 密 钥 ， 
这 应 该 可 以 抵挡 穷 举 攻击 了 。 这 种 方法 对 明文 的 所 有 字母 采用 同一 个 代 换 表 进 行 加 密 ,每 
个 明文 字母 映射 到 一 个 固定 的 密 文字 母 . 称 为 单 表 代 换 密码 。 
例如 密 钥 短语 密码 , 选 一 个 英文 短语 作为 密 钥 字 (Key Word) 或 密 钥 短语 (Key 
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Phrase) ,如 HAPPY NEW YEAR ,去 掉 重 复 字 母 得 HAPYNEWR。 将 它 依 次 写 在 明文 字 
母 表 之 下 ,而 后 再 将 字母 表 中 未 在 短语 中 出 现 过 的 字母 依次 写 于 此 短语 之 后 ,就 可 构造 出 一 
个 字母 代 换 表 , 即 明文 字母 表 到 密 文字 母 表 的 映射 规则 ,如 下 所 示 。 


六 | 者 | 知 中 对 | 疙 | 秆 时 是 上 四 中 各 | 地 中 要 相 .年 | 独 | 六 | 总 | 举人 芝 下 窜 出 泥 - 中 宣 | 守 | 秽 i 这 中 学 | 省 
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若 明 文 为 : 
Casear cipher is a shift substitution 
则 密 文 为 : 
PHONHM PBKRNM BO H ORBEQ OSAOQBQSQBJI 

不 过 ,攻击 办 法 仍然 存在 。 如 果 密 码 分 析 者 知道 明文 (例如 ,未 经 压缩 的 英文 文本 ) 的 属 
性 ,就 可 以 利用 语言 的 一 些 规律 进行 攻击 。 例 如 ,首先 把 密 文 中 字母 使 用 的 相对 频率 统计 出 
来 ,然后 与 英文 字母 的 使 用 频率 分 布 进行 比较 。 如 果 已 知 消息 足够 长 的 话 , 只 用 这 种 方法 就 
已 经 足够 了 。 即 使 已 知 消息 相对 较 短 ,不 能 得 到 准确 的 字母 匹配 ,密码 分 析 者 可 以 推测 可 能 
的 明文 字母 与 密 文字 母 的 对 应 关系 ,并 结合 其 他 规律 推测 字母 代 换 表 。 另 外 一 种 方法 是 统 
计 密 文中 双 字 母 组 合 的 频率 ,然后 与 明文 的 双 字 母 组 合 频 率 相对 照 ,以 此 来 寻找 明 密 文 的 对 
应 关系 。 

3. 多 表 代 换 加 密 

因为 带 有 原始 字母 使 用 频率 的 一 些 统计 学 特性 , 单 表 代 换 密码 较 容 易 被 攻破 。 一 种 对 
策 是 对 每 个 明文 字母 提供 多 种 代 换 , 即 对 明文 消息 采用 多 个 不 同 的 单 表 代 换 。 这 种 方法 一 
般 称 之 为 多 表 代 换 密码 。 比 如 字母 e 可 以 替换 成 16、74、35 和 21 等 ,循环 或 随机 地 选取 其 
中 一 个 即 可 。 如 果 对 每 个 明文 元 素 ( 字 母 ) 分 配 的 密 文 元 素 ( 如 数字 等 ) 的 个 数 与 此 明文 元 素 
(字母 ) 的 使 用 频率 成 一 定 比例 关系 ,那么 使 用 频率 信息 就 完全 被 隐藏 起 来 了 。 

所 有 多 表 代 换 方法 都 有 以 下 的 共同 特征 : 

(1) 采用 多 个 相关 的 单 表 代 换 规则 集 。 

(2) 由 密 钥 决定 使 用 的 具体 的 代 换 规则 。 

多 表 代 换 密 码 引 入 了 “ 密 钥 ”的 概念 ,由 密 钥 来 决定 使 用 哪 一 个 具体 的 代 换 规则 。 此 类 
算法 中 最 著名 且 最 简单 的 是 Vigenere 密码 。 它 的 代 换 规则 集 由 26 个 类 似 Caesar 密码 的 代 
换 表 组 成 ,其 中 每 一 个 代 换 表 是 对 明文 字母 表 移 位 0 一 25 次 后 得 到 的 代 换 单 表 。 每 个 密码 
代 换 表 由 一 个 密 钥 字 母 来 表示 ,这 个 密 钥 字母 用 来 代 换 明文 字母 a, 故 移 位 3 次 的 Caesar 密 
码 由 密 钥 值 d 来 代表 。Vigenere 密码 表 如 图 2-3 所 示 。 

最 左边 一 列 是 密 钥 字母 ,顶部 一 行 是 明文 的 标准 字母 表 ,26 个 密码 水 平 置 放 。 加 密 过 
程 很 简单 : 给 定 密 钥 字母 x 和 明文 字母 y. 密 文字 母 是 位 于 x 行 和 y 列 的 那个 字母 。 

加 密 一 条 消息 需要 与 消息 一 样 长 的 密 钥 。 通 常 , 密 钥 是 一 个 密 钥 词 的 重复 ,例如 密 钥 词 
是 relations, 那 么 消息 to be or not to be that is the question 将 被 这 样 加 密 。 


密 钥 : relationsrelationsrelationsrel 


明文 : tobeornottobethatisthequestion 
密 文 : ksmehzbblksmempogajxsejcsflzsy 
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解密 同样 简单 , 密 钥 字 母 决定 行 , 密 文字 母 所 在 列 的 顶部 字母 就 是 明文 字母 。 


这 种 密码 的 强度 在 于 每 个 明文 字母 对 应 着 多 个 密 文字 母 , 且 每 个 使 用 唯一 的 字母 ,因此 
字母 出 现 的 频率 信息 被 隐蔽 了 , 抗 攻 击 性 大 大 增强 。 历 史上 以 弗吉尼亚 密 表 为 基础 又 演变 


战 以 后 的 初级 电子 密码 


出 很 多 种 加 密 方法 ,其 基本 元 素 无 非 是 密 表 与 密 钥 .并 一 直 沿用 到 


机 上 。 


SN ODIGIO | 巴 | 工 | 一 | 一 | 兰 | | 引 zolalclalolFklDl>|E<|> 
>»|>INl<laloloalnaleclo lI-|- lI2|2|lzlolalolrlnlctl2|>|g ix 
*|x|l>INI<lalololmles lolITI- I-|x|I2|3lzliolslolg|lnlc|l2D|>|E 
g lilxli>~INI<lalololnmlciolITI-|I-||I2|23lziolalolxlnic|l2o|l> 
>|>|lglxi>INI<lalolalslclvolITI-|I- II2|23Iziolc lolx|lv|lclo 
23125|>|lg|lx|l>INnl<lalolaolalclolil-|-lx|2|l3lzlols lolrlvlc 
-|IclIDl>lglxI>~INI<imlololslelolITi-I-I|2|2lzioln|lolr ln 
lwlclol>lglxi>~INlI<ilalolalmleclolrTi-|i-i|i2|2|lziolrglolx 
“mlwlclol>lgIxI>~INI<lIalolalals lolITi-|i-|i|I2|3lziolalo 
oslolglolcl2l>|lg|Ix|l>~INI<|alololnlrclolTI-|i-||l2|2lzioln 
alglolzlinwlcl2ol>IgIx|i>INlI<lIalolalnlclivolrTi-|I-|x|i2|23|lzio 
ololglolglvwlcl2l>lg xi>INI<lalolalnlc Iori-|-||2|2|z 
Mlslziolsornrlol> Fx>IN<I2oS2 oI-|-||2|2 
| gelsizlolaslolgrlvlcl2l>lz|x|I>INI<|lalololnlelolzil- -| | 
-|~2|3izlolaliolglnlclDl>l>Ixl>~INI<lIalololslecglivolIili-|-| 
x|xI2|l23lziolciolrlnlcl2ol>lZ xI>~INI<IalolSlalr oi-|~— 
-I-III2|I23lzlolalolrlnlclIol>lZ xl>~INI<Ialolalslclo|lII- 
-I-IIIi2|I2lziolmlolxlnlicl2o|l>l2gixI>INI<ialolalslec 包工 
-II-|I-|Ix|i2|23Izlolc IonlclIol>l2|lx|I>~INI<I2lolalalr De 
wv-|i-l|I2|23lzliolrlolrlnlclol>lg|lx|I>~INI<Ialolaln|r 
-EvolIil-|I-|l|i2|I23lzlolalolglvlclol>lg|Ix|I>~INI<Ia|lololn 
omlglolri-|i-l|i2|l23|lziolalolglnlclDl>lg|ix|I>INil<iamlola 
忆 | 吕 四 | 巴 | 台 | 工 | 一 | 一 | 关 | 一 | 引 zOlalclaeloicDl>| El<>N<alD 
vlolalmlslolIiIi-|I-l¥|i2|23lziola lolxlnlcl2Dl>IE|x|I>~|INI<In 
-alolalnmlclolIiI-|I-|x|2|23Izlols Ionlc|l2ol>|SIx|>~|IN|I< 
“|l<lmlolalmleg oi-i-|ix|2|I2IziolalolrglnlclIol>|2|x|> IN 
sileolololol-| wcll.-|.-ix|i—-|glcslilolalosliriol-|I>3|>|IS|Ix*|i>|s 
铸 尼 


图 2-3 Vigenere 密码 表 


4. Hill 密码 


Hill 密码 是 另外 一 种 著名 的 多 表 代 换 密码 ,运用 了 和 矩阵 论 中 线性 变换 的 原理 ,由 Lester 


S. Hill 在 1929 年 发 明 。 


25。m 个 连续 的 明文 


Usp= bs 


0.0 


a 


个 字母 指定 为 一 个 二 十 六 进 制 数字 : 


每 
字母 被 看 作 wm 维 向 量 , 跟 一 个 mXm 的 加 密 和 矩阵 相 乘 ,再 将 得 出 的 结果 模 26 ,得 到 m 个 密 


文字 母 。 即 痉 个 连续 的 明文 字母 作为 一 个 单元 ,被 转换 成 等 长 的 密 文 单元 。 注 意 加 密 和 矩阵 


( 即 密 匙 ) 必 须 是 可 道 的 ,否则 就 不 可 能 译 码 。 


4, 该 密码 体制 可 以 描述 为 : 


例如 zm 
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次 | kz kzz As kzs || pz 
一 mod 26 
Cs ks As kss ks || ps 
加 : ki kas | 
C= E(K.P) = KP mod 26 
其 中 C 和 P 是 长 度 为 4 的 列 向 量 , 分 别 代表 密 文 和 明文 , 玉 是 一 个 4X4 和 矩阵 ,代表 加 密 和 矩阵 
( 密 钥 )。 运 算 按 模 26 执行 。 


例如 ,对 明文 cost, 用 向 量 表示 为 [2 14 18 19]"(T 代表 矩阵 转 置 )。 假 设 加 密 密 
钥 为 : 


或 


1 3 5 7 

10 4 6 8 
K= 

2 3 各 人 

11 12 8 5 


则 经 过 加 密 运算 ,得 到 密 文 : 
C=K[I2 14 18 19]7=[3 10 9 23] 
即 密 文 是 字符 串 dkjx。 解 密 则 需要 用 到 矩阵 天 的 逆 ,K7 7! 由 等 式 KK 一 天 'K 一 I 定义 ,其 
中 工 是 单位 矩阵 。 
P= DK.P) 一 KTC mod 26 

Hill 的 优点 是 完全 隐蔽 了 单字 母 频率 特性 。 实 际 上 ,Hill 用 的 矩阵 越 大 ,所 隐藏 的 频率 
信息 就 越 多 。 而 且 , 由 于 Hill 密码 的 密 钥 采 用 和 矩阵 形式 ,不 仅 隐藏 了 单字 母 的 频率 特性 ,还 
隐藏 了 双 字 母 的 频率 特性 。 


2.3.3 古典 密码 分 析 


古典 密码 中 ,大 多 数 算 法 都 不 能 很 好 地 抵抗 对 密 钥 的 穷 举 攻击 ,因为 其 密 钥 空间 相对 都 
不 二 3 

在 一 定 条 件 下 ,古典 密码 体制 中 的 任何 一 种 都 可 以 被 破译 。 古 典 密码 对 已 知 明文 攻击 
是 非常 脆弱 的 。 即 使 用 惟 密 文 攻击 ,大 多 数 古 典 密码 也 很 容易 被 攻破 。 原 因 在 于 古典 密码 
多 是 用 于 保护 英文 表达 的 明文 信息 ,而 大 多 数 古 典 密码 都 不 能 很 好 地 隐藏 明文 消息 的 统计 
特征 ,英文 的 语言 统计 特性 就 成 为 攻击 者 的 有 力 工具 。 

以 单 表 代 换 为 例 。 单 表 代 换 密码 允许 字母 进行 任意 代 换 , 密 钥 空间 非常 大 ,有 26! (大 
于 4X10”) 种 可 能 的 密 钥 。 因 此 .对 单 表 代 换 密码 进行 密 钥 穷 举 攻击 计算 上 是 不 可 行 的 。 
但 是 ,自然 语言 (英文 ) 的 词 频 规律 等 统计 特性 在 密 文 中 很 好 地 被 保持 ,而 英文 语言 的 统计 特 
性 是 公开 的 ,这 对 破译 非常 有 用 。 破 译 中 经 常 使 用 的 英文 语言 的 统计 特性 是 单字 母 出 现 频 
率 、 双 字母 组 合 出 现 频 率 、 重 合 指 数 等 。 例 如 ,在 英文 语言 中 ,字母 e 出 现 的 频率 最 高 , 接 下 
来 是 t\a\o 等 。 出 现 频率 较 高 的 双 字 和 母 组 合 有 th、he、er 等 。 经 过 大 量 统计 ,人 们 总 结 出 了 
英文 中 单字 母 出 现 频率 ,如 表 2-2 所 示 。 

在 仅 有 密 文 的 情况 下 ,攻击 者 可 以 通过 如 下 步骤 进行 破译 : 

@ 统计 密 文中 每 个 字母 出 现 的 频率 。 
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表 2-2 英文 字母 出 现 频率 统计 


A B CG D E F G 
0.0856 0.0139 0.0279 0.0378 0.1304 0.0289 0.0199 
H I J K I M N 
0.0518 0.0627 0.0013 0.0042 0.0339 0.0249 0.0707 
O F Q R S 于 U 
0.0797 0.0199 0.0012 0.0677 0.0607 0.1045 0.0269 
V Ww X 本 Zz 
0.0092 0.0149 0.0017 0.0199 0.0008 


@ 从 出 现 频 率 最 高 的 几 个 字母 开始 ,并 结合 双 字 母 组 合 、 三 字母 组 合 出 现 频 率 , 假 定 它 
们 是 英文 中 出 现 频率 较 高 的 字母 和 字母 组 合 所 对 应 的 密 文 ,逐步 试探 、 推 测 每 个 密 文字 母 对 
应 的 明文 字母 。 

@@ 重复 步骤 加 的 试探 ,直到 得 到 有 意义 的 英文 词句 和 段落 。 


2.3.4 一 次 一 密 


一 种 理想 的 加 密 方案 叫做 一 次 一 密 , 由 Major Joseph Mauborgne 和 ATR&T 公司 的 
Gilbert Vernam 在 1917 年 发 明 的 。 一 次 一 密使 用 与 消息 等 长 且 无 重复 的 随机 密 钥 来 加 密 
消息 。 另 外 , 密 钥 只 对 一 个 消息 进行 加 解密 ,之 后 丢弃 不 用 。 每 一 条 新 消息 都 需要 一 个 与 其 
等 长 的 新 密 钥 。 

具体 来 讲 , 发 送 方 维护 一 个 密码 本 .密码 本 保存 一 个 足够 长 的 密 钥 序列 ,该 密 钥 序列 中 
的 每 一 项 都 是 按照 均匀 分 布 随 机 地 从 一 个 字符 表 中 选取 的 , 即 满 足 真 随机 性 。 这 个 真 随机 
的 密 钥 序列 需要 双方 事先 协商 好 ,并 各 自 秘密 保存 。 每 次 通信 时 ,发 送 方 首先 从 密码 本 的 密 
钥 序列 最 前 端 选 择 一 个 与 待 发 送 消息 长 度 相 同 的 一 段 作 为 密 钥 ,然后 用 密 钥 中 的 字符 依次 
加 密 消 息 中 的 每 个 字母 ,加 密 方式 是 将 明文 字母 串 和 密 钥 进行 逐 位 异 或 。 加 密 完 成 后 ,发送 
方 把 密 钥 序列 中 刚 使 用 过 的 这 一 段 销毁 。 接 收 方 每 次 收 到 密 文 消息 后 .使 用 自己 保存 的 密 
钥 序 列 最 前 面 与 密 文 长 度 相同 的 一 段 作为 密 钥 .对 密 文 进行 解密 。 解 密 完成 后 ,接收 方 同样 
销毁 刚刚 使 用 过 的 这 一 段 密 钥 。 

如 果 密 码 本 不 丢失 ,一 次 一 密 的 密 文 不 可 能 被 破解 。 因 为 即使 有 了 足够 数量 的 密 文 样 
本 ,每 个 字符 的 出 现 概率 都 是 相等 的 ,每 任意 个 字母 组 合 出 现 的 概率 也 是 相等 的 , 密 文 与 明 
文 没有 任何 统计 关系 。 因 为 密 文 不 包含 明文 的 任何 信息 ,所 以 无 法 可 破 。 

一 次 一 密 的 安全 性 完全 取决 于 密 钥 的 随机 性 。 如 果 构 成 密 钥 的 字符 流 是 真正 随机 的 ， 
那么 构成 密 文 的 字符 流 也 是 真正 随机 的 。 因 此 分 析 者 没有 任何 攻击 密 文 的 模式 和 规则 可 
用 。 如 果 攻 击 者 不 能 得 到 用 来 加 密 消 息 的 一 次 一 密 乱 码 本 ,这 个 方案 是 完全 保密 的 。 

理论 上 ,对 一 次 一 密 已 经 很 清楚 了 。 但 是 在 实际 中 ,一 次 一 密 提 供 完全 的 安全 性 存在 两 

(1) 产生 大 规模 随机 密 钥 的 实际 困难 。 一 次 一 密 需 要 非常 长 的 密 钥 序列 ,这 需要 相当 
大 的 代价 去 产生 、 运 输 和 保存 .而 且 密 钥 不 允许 重复 使 用 进一步 增 大 了 这 个 困难 。 实 际 应 用 
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中 提供 这 样 规模 的 真正 随机 字符 是 相当 艰巨 的 任务 。 

(2) 密 钥 的 分 配 和 保护 。 对 每 一 条 发 送 的 消息 ,需要 提供 给 发 送 方 和 接收 方 等 长 度 的 
密 钥 。 因 此 ,存在 庞大 的 密 钥 分 配 问题 。 

因为 上 面 这 些 困难 ,一 次 一 密 在 实际 中 很 少 使 用 ,而 主要 用 于 安全 性 要 求 很 高 的 低 带 宽 
信道 。 例 如 ,美国 和 前 苏联 两 国 领导 人 之 间 的 热线 电话 据说 就 是 用 一 次 一 密 技术 加 密 的 。 


2.4 ”数据 加 密 标准 


2.4.1 分 组 密码 基本 概念 


对 称 密码 分 为 两 大 类 : 流 密码 和 分 组 密码 。 在 流 密码 (stream cipher) 中 ,加 密 和 解密 
每 次 只 处 理 数据 流 的 一 个 符号 (如 一 个 字符 或 一 个 比特 )。 上 古典 密码 都 属于 流 密码 。 分 组 密 
人 码 (block cipher) 又 称 块 密码 . 它 将 明文 消息 划分 成 若干 长 度 为 mx(m 二 1) 的 分 组 (或 块 ), 各 
组 分 别 在 长 度 为 的 密 钥 &A 的 控制 下 转换 成 长 度 为 的 密 文 分 组 。 如 果 x 二 n, 则 称 为 带 数 
据 压 缩 的 分 组 密码 ,可 以 增加 密 文 解密 的 难度 ; 如 果 mw 二 n, 则 称 为 带 数 据 扩 展 的 分 组 密码 ， 
其 密 文 存储 和 传输 的 代价 较 大 。 一 般 情 况 下 ,分 组 密码 算法 取 浆 王 2 :典型 的 大 小 是 64 位 或 
者 128 位 。 当 密 钥 长 度 为 ~, 密 钥 空间 大 小 是 2 。 明 文 分 组 大 小 、 密 文 分 组 大 小 和 密 钥 长 度 
是 分 组 密码 算法 的 几 个 重要 参数 ,对 分 组 密码 的 安全 性 有 很 大 影响 。 

分 组 密码 是 现代 密码 学 的 重要 组 成 部 分 。 人 们 已 经 对 分 组 密码 进行 了 大 量 的 研究 。 由 
于 加 解密 速度 快 ,安全 性 能 好 ,并 得 到 许多 密码 芯片 的 支持 ,现代 分 组 密码 发 展 非常 快 。 一 
般 来 说 ,分 组 密码 的 应 用 范围 比 流 密码 要 广泛 。 绝 大 部 分 基于 网 络 的 对 称 密码 应 用 使 用 的 
是 分 组 密码 。 

一 般 分 组 密码 的 构造 遵循 以 下 几 个 原则 : 

(1) 足够 大 的 明文 分 组 长 度 , 以 保证 足够 大 的 明文 空间 ,避免 给 攻击 者 提供 太 多 的 明文 
统计 特征 信息 。 

(2) 尽 可 能 大 的 密 钥 空间 .以 抵抗 穷 举 密 钥 攻击 。 

(3) 足够 强 的 密码 算法 复杂 度 , 以 增强 分 组 密码 算法 自身 的 安全 性 ,使 攻击 者 无 法 利用 
简单 数学 关系 找到 破译 缺口 。 常 用 方法 有 : 

@ 将 一 个 明文 分 组 划分 为 若干 子 组 分 别处 理 , 再 合并 起 来 做 适当 变换 ,以 提高 密码 算 
法 强度 。 

@ 采用 乘积 密码 的 思想 。 将 两 种 或 两 种 以 上 的 简单 密码 逐次 应 用 ,构成 强度 比 任何 单 
独 一 个 都 大 的 密码 算法 ,克服 单一 密码 变换 的 弱点 。 

(4) 软件 实现 尽量 采用 长 度 2” 的 子 块 , 以 适应 软件 编程 ; 运算 尽量 简单 .如 加 法 、 乘 法 、 
异 或 、 移 位 等 指令 ,便于 处 理 器 运算 。 

(5) 加 解密 硬件 结构 最 好 一 致 .便于 应 用 大 规模 集成 芯片 实现 ,以 简化 系统 结构 。 

在 提高 密码 算法 复杂 度 方面 ,分 组 密码 采用 了 很 多 措施 ,用 得 最 多 的 是 S-P 网 络 
(Substitution-Permutation Network, 代 换 -替换 网 络 )。S-P 网 络 由 S 变换 和 P 变换 交替 进行 多 
次 迭代 , 它 属 于 迭代 密码 :也 是 乘积 密码 的 常见 表现 形式 。S-P 网 络 示 意图 如 图 2-4 所 示 。 
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代 换 置换 代 换 置换 
0 一 | 一 1 1- 一 | 一 0 0 一 | 一 1 1 一 | 一 0 
i 一 0 0 一 | 1 1 一 | 一 0 0 一 | 一 1 
1 一 | 一 1 1- 一 | -一 0 1 一 | 一 1 1——| 一 0 
1 一 | 一 0 0 一 | 一 1 1 一 | 一 0 0 一 | 一 1 
0 一 | 一 1 1 一 | 一 0 0 一 | 一 1 1 一 | 一 0 
1—| -0 0 一 | 一 1 1 一 | 一 0 0 一 | 一 1 

S 盒 P 念 S 盒 P 盒 


2-4 S-P 网 络 示意 图 


为 了 有 效 抵抗 攻击 者 对 密码 体制 的 统计 分 析 ,C. Shannon 提出 了 两 个 分 组 密码 设计 的 
基本 原则 : 混乱 原则 和 扩散 原则 。 混 乱 是 指明 文 、 密 钥 和 密 文 之 间 的 统计 关系 应 该 尽 可 能 
复杂 ,使 得 攻击 者 无 法 理 出 三 者 的 相互 依赖 关系 ,从 而 增强 了 安全 性 。 扩 散 是 指 让 明文 和 密 
钥 的 每 一 位 都 直接 或 间接 地 影响 密 文中 的 多 位 :或 密 文 的 每 一 位 都 受到 明文 和 密 钥 的 多 个 
位 的 影响 ,以 达到 隐蔽 明文 统计 特征 的 目的 。 分 组 密码 通常 采用 乘积 和 迭代 手段 , 即 S-P 
网 络 ,取得 较 好 的 扩散 和 混乱 效果 。 

在 实际 应 用 中 ,分 组 密码 有 4 种 操作 模式 。 

1. 电子 密码 本 模式 (ECB) 

ECB 是 分 组 密码 的 基本 工作 模式 。 在 这 种 模式 中 ,使 用 相同 的 密 钥 和 算法 对 明文 的 各 
分 组 进行 独立 的 加 密 。ECB 最 重要 的 特征 是 一 段 消息 中 若 有 几 个 相同 的 明文 组 ,那么 密 文 
也 将 出 现 几 个 相同 的 密 文 分 组 。 因 此 .这 种 模式 的 缺点 是 容易 暴露 明文 的 数据 格式 以 及 某 
些 统计 特性 。ECB 模式 特别 适合 于 数据 较 少 的 情况 ; 对 于 很 长 的 消息 ,ECB 模型 可 能 不 安 
全 。 如 果 消 息 是 非常 结构 化 的 ,密码 分 析 者 可 能 利用 其 结构 特征 来 破译 。 

2. 密码 分 组 链接 模式 (CBC) 

所 谓 链接 ,是 指 密 文 分 组 不 仅 与 当前 输入 的 明文 分 组 和 密 钥 有 关 , 而 且 与 此 前 的 输入 和 
输出 也 相关 的 一 种 技术 。 在 CBC 模式 中 .每 个 明文 分 组 M; 在 加 密 之 前 先 与 前 一 组 的 密 文 
分 组 Ci-: 做 异 或 运算 ,然后 再 加 密 ,使 用 的 密 钥 是 相同 的 。 用 一 个 初始 向 量 IV 作为 密 文 分 
组 的 初始 值 , 即 : 

Ci = E(M;@BC), i=1,2,.…,n 
0 = 

加 密 算法 的 每 次 输入 与 本 明文 组 没有 固定 的 关系 。 因 此 ,车 有 重复 的 明文 组 ,加 密 后 也 
看 不 出 来 了 。 解 密 时 ,每 个 密 文 组 分 别 进行 解密 ,再 与 上 一 块 密 文 异 或 就 可 恢复 出 明文 。 

CBC 模式 中 ,车 C; 出 错 . 则 解密 时 不 仅 Mi; 出 错 ,Mi+: 也 会 出 错 , 即 存在 错误 传播 。 

3. 密码 反馈 模式 (CFB) 

如 果 待 加 密 的 消息 要 求 按 字符 或 比特 处 理 . 往 往 采用 CFB 模式 。 在 CFB 模式 中 ,将 分 
组 密码 作为 一 个 密 钥 流 发 生 器 ,在 t 比特 密 文 的 反馈 下 .每 次 输出 1 比特 数据 作为 密 钥 对 t 
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比特 明文 进行 加 密 。CFB 模式 也 存在 错误 传播 问题 。 

4. 输出 反馈 模式 (OFB) 

与 CFB 相同 的 是 ,在 OFB 模式 中 ,也 是 利用 分 组 密码 作为 一 个 密 钥 流 发 生 器 ,通过 反 
复 加 密 一 个 64 比特 移 位 寄存 器 中 的 数据 来 得 到 密 钥 流 。 与 CFB 不 同 的 是 ,每 次 反馈 给 移 
位 寄存 器 的 不 是 密 文 分 组 ,而 是 从 移 位 寄存 器 加 密 的 结果 中 选取 的 : 比特 。 


2.4.2 DES 加 密 


数据 加 密 标 准 (Data Encryption Standard, DES) 是 使 用 最 广泛 的 密码 系统 ,出 自 于 
IBM 公司 在 20 世纪 60 年 代 之 后 一 段 时 间 内 的 计算 机 密码 编码 学 研究 项 目 , 属 于 分 组 密码 
体制 。1973 年 美国 国家 标准 局 (NIST, 现 在 的 美国 国家 标准 和 技术 研究 所 ) 征 求 国家 密码 
标准 方案 ,IBM 将 这 一 研究 项 目的 成 果 一 一 Tuchman-Meyer 方案 提交 给 了 NBS, 并 于 1977 
年 被 采纳 为 DES。 

DES 在 出 现 之 后 的 20 多 年 间 , 在 数据 加 密 方面 发 挥 了 不 可 替代 的 作用 。 在 进入 20 世 
纪 90 年 代 后 , 随 着 软 硬 件 技术 的 发 展 ,由 于 密 钥 长 度 偏 短 等 缺陷 ,DES 安全 性 受到 严重 挑 
战 ,并 不 断 传 出 被 破译 的 进展 情况 。 鉴 于 此 ,NIST 决定 于 1998 年 12 月 后 不 再 使 用 DES 保 
护 官方 机 密 , 只 推荐 为 一 般 商 业 应 用 ,并 于 2001 年 11 月 发 布 了 高 级 加 密 标 准 (AES) ,以 替 
代 DES。 无 论 怎样 ,DES 对 推动 分 组 密码 理论 研究 ,促进 分 组 密码 发 展 做 出 了 重要 贡献 ,而 
且 它 的 设计 思想 对 分 组 密码 的 理论 研究 和 工程 应 用 有 着 重要 参考 价值 。 

DES 采用 了 S-P 网 络 结构 ,分 组 长 度 为 64 位 , 密 钥 长 度 为 56。 加 密 和 人 解密 使 用 同一 算 
法 .同一 密 钥 .同一 结构 。 区 别 是 加 密 和 解密 过 程 中 16 个 子 密 钥 的 应 用 顺序 相反 。 

DES 加 密 运 算 的 整体 逻辑 结构 如 图 2-5 所 示 。 对 于 任意 加 密 方案 ,总 有 两 个 输入 : 明 
文 和 密 钥 。DES 的 明文 长 为 64 位 , 密 钥 长 为 56 位 。 实 际 中 的 明文 分 组 未 必 为 64 位 ,此 时 
要 经 过 填充 过 程 ,使 得 所 有 分 组 对 齐 为 64 位 ; 解密 过 程 则 需要 去 除 填充 信息 。 

图 2-5 中 ,IP(Initial Permutation) 表 示 对 64 比特 分 组 的 初始 置换 ,L;、R; 均 为 32 位 比 
特 位 串 ,K; 为 48 比特 子 密 钥 ,由 64 比特 种 子 密 钥 经 过 扩展 运算 得 到 。 加 密 过 程 包括 三 个 
阶段 : 首先 ,64 位 的 明文 经 过 初始 置换 IP 而 被 重新 排列 ; 然后 进行 16 轮 的 迭代 过 程 ,每 轮 
的 作用 中 都 有 和 置换 和 代 换 ,最 后 一 轮 迭 代 的 输出 有 64 位 , 它 是 输入 明文 和 和 密 钥 的 函数 ,将 其 
左 半 部 分 和 右 半 部 分 互 换 产生 预 输出 ; 最 后 . 预 输出 经 过 初始 道 置 换 IP-: (与 初始 置换 IP 
互 逆 ) 的 作用 产生 64 位 的 密 文 。 

1. 初始 置换 IP 

初始 置换 IP 及 其 逆 置 换 IP- :是 64 个 比特 位 置 的 置换 ,可 表示 成 表 的 形式 ( 见 图 2-6)。 
置换 主要 用 于 对 明文 中 的 各 位 进行 换 位 ,目的 在 于 打 乱 明文 中 各 位 的 排列 次 序 。 在 初始 置 
换 IP 中 ,具体 置换 方式 是 把 第 58 比特 (zss ) 换 到 第 1 个 比特 位 置 , 把 第 50 比特 (tso ) 换 到 第 2 
个 比特 位 置 …… ,把 第 7 比特 (zi) 换 到 第 64 个 比特 位 置 。 

2. 16 轮 和 迭代 

DES 算法 的 第 二 个 阶段 是 16 轮 的 迭代 过 程 . 即 乘积 变换 的 过 程 。 经 过 IP 变换 的 64 位 
结果 分 成 两 个 部 分 L。 和 R。 ,作为 16 轮 和 迭代 的 输入 ,其 中 Lo。 包含 前 32 个 比特 ,而 Ro 包含 
后 32 个 比特 。 密 钥 K 经 过 密 钥 扩展 算法 ,产生 16 个 48 位 的 子 密 钥 ,ks,… ,ko ,每 一 轮 迭 
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输入 明文 : 
区 之 
[ ] 
Lo Ro 
Kl 
Ls a 
Li=Ro RI=Lo@Bf(Ro, Ki) 
天 2 
[ | 
2=RI Rs=L1@®f(RI, K;) 
Kie 
Rie=Lis@®/(R1s, Ko) Lie=Ris 
3 4 5 6 # 8 | 58 50 42 34 26 
11 12 13 14 15 16 60 52 44 36 28 
19 20 21 22 23 24 62 54 46 38 30 
27 28 29 30 31 32 IP |64 56 48 40 32 
35 36 37 38 39 40 57 49 41 33 25 
43 44 45 46 47 48 59 51 43 35 27 
51 52 53 54 55 56 | 53 45 37 29 
59 60 61 62 63 gal 63 55 47 39 31 
3 4 5 6 . 8 1 40 8 48 16 56 
11 12 13 14 15 16 39 7 47 15 55 
19 20 21 22 .23 24 38 6 46 14 54 
27 28 29 30 31 32 1m-'i137 5 45 13 53 
35 36 37 38 39 40 36 4 44 12 52 
43 44 45 46 47 48 35 3 43 11 51 
51 52 53 54 55 56 34 2 42 10 50 
59 60 61 62 63 sd 33 1 41 9 49 


2-6 ”初始 置换 IP 与 赣 IP 的 矩阵 表示 
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代 使 用 一 个 子 密 钥 。 每 一 轮 迭 代称 为 一 个 轮 变 换 或 轮 函数 ,可 以 表示 为 : 


EB; = Rs 
| 1<i<16 
fee a dN 


其 中 工 ; 与 Ri 长度 均 为 32 位 ,i 为 轮 数 。 符 号 外 为 逐 位 模 2 加 ,yy 为 包括 代 换 和 置换 的 一 个 
变换 函数 ,K; 是 第 i 轮 的 48 位 长 子 密 钥 。 

注意 ,整个 16 轮 和 迭代 既 适 用 于 加 密 , 也 适用 于 解密 。 

3. 初始 逆 置 换 IP-: 

DES 算法 的 第 三 阶段 是 对 16 轮 和 迭代 的 输出 Rie Li 进行 初始 逆 置 换 ,目的 是 为 了 使 加 
解密 使 用 同一 种 算法 。 

4. f 函数 

f 函数 是 第 二 阶段 16 轮 和 迭代 过 程 中 轮 变 换 的 核心 , 它 是 非 线性 的 ,是 每 轮 实 现 混乱 和 
扩散 的 关键 过 程 。f 函数 的 基本 思想 如 图 2-7 所 示 。f 函数 包括 三 个 子 过 程 : 扩展 变换 ,又 
称 玉 变换 ,将 32 比特 的 输入 扩展 为 48 比特 ; S 盒 变换 把 48 比特 的 数 压 缩 为 32 比特 ,P 盒 
变换 则 是 对 32 比特 数 的 置换 。 


图 2-7 《函数 结构 

1) 扩展 变换 

扩展 变换 又 称 为 EE 变换 ,其 功能 是 把 32 位 扩展 为 48 位 ,是 一 个 与 密 钥 无 关 的 变换 。 扩 
展 变换 将 32 比特 输入 分 成 8 组 ,每 组 4 位 ,经 扩展 后 成 为 每 组 6 位。 扩展 规则 如 图 2-8 所 
示 。 其 中 有 16 比特 出 现 两 次 。 


1 2 3 4 32 1 2 3 4 5 
5 6 7 8 4 5 6 7 8 9 
9 10 11 12 8 9 10 11 12 13 


28 29 30 31 32 1 
图 2-8 扩充 置换 表 
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扩展 结果 与 子 密 钥 k; 进行 异 或 运算 ,作为 S 盒 的 输入 。 

2) S 盒 

S 盒 的 功能 是 压缩 蔡 换 。S 盒 把 48 比特 的 输入 分 成 8 组 ,每 组 6 比特 。 每 一 个 6 比特 
分 组 通过 查 一 个 S 盒 得 到 4 比特 输出 。8 个 S 盒 的 构造 见 表 2-3 。 

每 一 个 S 盒 都 是 一 个 4X16 的 矩阵 S$ 二 (5; ) ,每 行 均 是 整数 0,1,2,…,15 的 一 个 全 排 
列 。48 比特 被 分 成 8 组 ,每 组 都 进入 一 个 S 盒 进行 替代 操作 ,分 组 1 一 Si ,分 组 2 一 S;,… 依 
此 类 推 。 每 个 S 盒 都 将 6 位 输入 映射 为 4 位 输出 : 给 定 6 比特 输入 工 一 zazazszizsze ,将 
xixze 组 成 一 个 2 位 二 进 制 数 ,对 应 行 号 ; zazsz4szs 组 成 一 个 4 位 二 进 制 数 ,对 应 列 号 ; 行 与 
列 的 交叉 点 处 的 数据 即 为 对 应 的 输出 。 例 如 ,在 S; 中 ,车 输入 为 011001, 则 行 是 1(01), 列 
是 12(1100) ,该 处 的 数值 是 9, 所 以 输出 为 1001。 


表 2-3 S 盒 置换 表 


14 4 13 1 2 15 醒 8 3 10 6 12 5 9 0 
S， 0 15 be 4 14 2 13 1 10 6 12 11 9 5 3 
4 1 14 8 13 6 2 11 15 12 9 区 3 10 5 0 
15 12 8 2 4 9 1 过 5 11 3 15 10 0 6 13 
15 8 14 6 11 3 4 9 4 13 12 0 5 10 
s, 3 13 4 7 15 2 8 14 12 0 1 10 6 9 11 5 
0 14 Li 11 10 4 13 1 5 8 12 6 9 3 2 15 
13 8 10 1 3 15 4 2 11 6 A 12 0 5 14 9 
10 0 9 14 6 3 15 5 1 13 12 7 11 4 2 8 
s, 13 Ld 0 9 3 4 6 10 2 8 5 14 12 11 15 1 
13 6 4 9 8 15 3 0 11 1 2 12 5 10 14 dd 
1 10 13 0 6 9 8 六 4 15 14 3 11 5 2 12 
? 13 14 3 0 6 和 10 1 2 8 5 11 12 4 15 
13 8 11 5 6 15 0 3 4 4 2 12 1 10 14 多 
号 10 6 9 0 12 11 13 15 区 3 14 5 2 8 4 
15 0 6 10 1 15 8 9 4 5 11 12 2 14 
2 12 4 1 7 10 11 6 8 5 3 15 13 0 14 9 
s,s 14 11 2 12 4 了 13 1 5 0 15 10 3 Eg 8 6 
4 2 1 11 10 13 7 8 15 9 12 6 3 0 14 
nh 8 12 7 1 14 2 13 6 15 0 人 10 4 5 3 
12 1 10 15 多 2 6 8 0 13 3 4 14 5 11 
s, 10 15 4 2 7 12 9 5 6 1 13 14 0 1 3 8 
9 14 15 5 2 8 12 3 7 0 4 10 13 1 
3 2 12 9 5 15 10 和 14 1 7 6 0 8 13 
4 11 2 14 15 0 8 13 3 12 9 ? 5 10 6 
汪 13 0 1 EF 4 9 1 10 14 3 5 12 2 15 8 
4 11 13 12 3 人 4 12 5 6 8 0 5 9 
6 11 13 8 1 4 10 Ld 和 5 0 15 14 2 3 12 
13 2 8 4 6 15 11 1 10 9 3 14 5 0 12 Ls 
s, 1 15 13 8 10 3 Ea 4 12 5 6 11 0 14 最 
4 1 9 12 14 2 0 6 10 13 15 3 5 
1 14 10 8 13 15 12 9 0 3 5 6 Lb 
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3 至 合 


P 盒 是 32 个 比特 位 置 的 置换 , 见 表 2-4, 用 法 和 IP 类 似 。 
表 2-4 P 盒 置换 表 


16 pd 20 
15 23 
2 8 24 

19 13 30 

5. 子 密 钥 产生 


21 29 
26 5 
14 32 

6 22 


在 DES 第 二 阶段 的 16 轮 和 迭代 过 程 中 ,每 一 轮 都 要 使 用 一 个 长 度 48 的 子 密 钥 , 子 密 钥 
是 从 初始 的 种 子 密 钥 产生 的 。DES 的 种 子 密 钥 K 为 56 比特 ,使 用 中 在 每 7 比特 后 添加 一 
个 奇偶 检验 位 (分 布 在 8,16,24,32,40.,48,56.64 位 ), 扩 充 为 64 比特 ,目的 是 进行 简单 的 


纠 错 。 


从 64 比特 带 检 验 位 的 密 钥 K( 本 质 上 是 56 比特 密 钥 ) 中 ,生成 16 个 48 比特 的 子 密 钥 
K;, 用 于 16 轮 变 换 中 。 子 密 钥 生成 算法 如 图 2-9 所 示 。 


64 比 特 密 钥 K( 含 校 验 比特 ) 


Kl 


—| 


图 2-9 密 钥 扩展 算法 


子 密 钥 生成 大 致 包括 以 下 几 个 子 过 程 : 

@ 置换 选择 1(PC-1)。PC-1 从 64 比特 中 选 出 56 比特 的 密 钥 KK 并 适当 调整 比特 次 序 , 选 
择 方法 由 表 2-5 给 出 。 它 表示 选择 第 57 比特 放 到 第 1 个 比特 位 置 , 选 择 第 50 比特 放 到 第 2 
个 比特 位 置 …… ,选择 第 7 比特 放 到 第 56 个 比特 位 置 。 将 前 28 为 记 为 Cu ,后 28 位 记 为 Do 。 

@ 循环 左 移 LS;。 计 算 模型 可 以 表示 为 : 


人 = LSC 


D; = LS;(D:a); 


1 三 i 二 16 
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LS; 表示 对 28 比特 串 的 循环 左 移 : 当 ;i 一 1.2.9.16 时 , 移 一 位 ; 对 其 他 i 移 两 位 。 

@ 置换 选择 2(PC-2)。 与 PC-1 类 似 .PC-2 则 是 从 56 比特 中 拣选 出 48 比特 的 变换 , 即 
从 C; 与 D; 连接 得 到 的 比特 串 CiD; 中 选取 48 比特 作为 子 密 钥 开 , ,拣选 方法 由 表 2-6 给 出 ， 
使 用 方法 和 表 2-5 相同 。 


表 2-5 PC-1 
57 59 4 33 25 17 9 1 58 50 42 34 26 18 10 2 
59 51 43 35 27 19 11 3 60 52 44 36 63 55 47 39 
31 23 15 7 62 54 46 38 30 22 14 6 61 53 45 37 
29 21 13 5 28 20 12 4 

表 2-6 PC-2 
14 17 11 24 1 5 3 28 15: 6 21 10 23 19 12 4 
26 8 16 7 27 20 13 3. 3 37 47 55 30 40 


5 
51 45 33 48 44 49 39 56 34 53 46 42 50 36 29 32 


DES 的 解密 算法 与 加 密 算法 是 相同 的 ,只 是 子 密 钥 的 使 用 次 序 相反 。 
2.4.3 ”DES 安全 性 


自从 DES 被 NIST 采纳 为 标准 ,对 它 的 安全 性 就 一 直 争 论 不 休 , 焦 点 主要 集中 于 密 铀 
的 长 度 和 算法 本 身 的 安全 性 。 

DES 受到 的 最 大 攻击 是 它 的 密 钥 长 度 仅 有 56 比特 。56 位 的 密 钥 共有 2” 种 可 能 ,这 个 
数字 大 约 为 7.2X10%*。 在 1977 年 .人 们 估计 耗资 两 千 万 美元 可 以 建成 一 个 专门 计算 机 用 
于 DES 的 解密 ,需要 12 个 小 时 的 破解 才能 得 到 结果 。 所 以 ,当时 DES 被 认为 是 一 种 十 分 
强壮 的 加 密 方 法 。1998 年 7 月 ,EFF(Electronic Frontier Foundation) 宣布 一 台 造 价 不 到 
25 万 美元 、 为 特殊 目的 设计 的 机 器 “DES 破译 机 ”在 不 到 三 天 时 间 内 成 功 破译 了 DES,DES 
终于 清楚 地 被 证 明 是 不 安全 的 。EFF 还 公布 了 这 台 机 器 的 细节 ,使 其 他 人 也 能 建造 自己 的 
破译 机 。2000 年 1 月 .在 “第 三 届 DES 挑战 赛 * 上 ,EFF 研制 的 DES 解密 机 以 22. 5 小 时 的 
战绩 ,成 功 地 破解 了 DES 加 密 算法 。 随 着 硬件 速度 的 提高 和 造价 的 下 降 , 以 及 大 规模 网 络 
并 行 计算 技术 的 发 展 ,破解 DES 的 效率 会 越 来 越 高 。 

不 过 ,要 进行 真正 的 穷 举 攻击 .仅仅 靠 简 单 地 将 所 有 可 能 的 密 钥 代入 到 程序 中 去 执行 是 
不 够 的 。 要 进行 穷 举 攻击 ,需要 事先 知道 一 些 有 关 期 望 明文 的 知识 ,并 且 需 要 将 正确 的 明文 
从 可 能 的 明文 堆 里 辨认 出 来 的 自动 化 方法 。EFF 也 介绍 了 在 很 多 环境 中 很 有 效 的 自动 化 
技术 。 

人 们 关心 的 另外 一 件 事 是 密码 分 析 者 有 没有 利用 DES 算法 本 身 的 特征 来 攻击 它 的 可 
能 性 。 问 题 集 中 在 每 轮 迭 代 所 用 的 8 个 代 换 表 , 即 S 盒 身上 。 因 为 这 些 S 盒 的 设计 标准 , 实 
际 上 包括 整个 算法 的 设计 标准 是 不 公开 的 ,因此 人 们 怀疑 密码 分 析 者 若是 知道 S 盒 的 构造 
方法 ,就 可 能 知道 S 盒 的 弱点 。DES 可 能 是 当今 最 多 的 被 分 析 和 攻击 对 象 ,多 年 来 人 们 也 
的 确 发 现 了 S 盒 的 许多 规律 和 一 些 缺 点 :但 是 至 今 还 没有 人 公开 声明 发 现任 何 结构 方面 的 
缺陷 和 漏洞 。 
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2.4.4 三 重 DES 


由 于 使 用 了 长 度 56 比特 的 短 密 钥 ,DES 对 抗 穷 举 攻击 的 能 力 相 对 比较 脆弱 ,因此 很 多 
人 推出 了 多 重 DES, 和 希望 克服 这 种 缺陷 。 比 较 典 型 的 是 2DES、3DES 和 4DES 等 几 种 形式 。 
其 中 2DES 和 4DES 由 于 易 受 中 间 相 遇 攻 击 的 威胁 ,实际 应 用 中 广泛 采用 的 一 般 是 三 重 
DES 方案 ,即使 用 3 倍 DES 密 钥 长 度 的 密 钥 ,执行 3 次 DES 算法 。3DES 有 以 下 4 种 模式 : 

(1) DES-EEE3 模式 ,使 用 三 个 不 同 的 密 钥 (Ai ,ks ,As ) ,进行 三 次 加 密 , 密 文 为 

C = DES, (DES,, (DES, (M))) 
(2) DES-EDE3 模式 ,使 用 三 个 不 同 的 密 钥 (ki ,As ,As ) ,采用 加 密 一 解密 一 加 密 模式 。 
密 文 C = DES, (DES# (DES:, (M))) 

(3) DES-EEE2 模式 ,使 用 两 个 不 同 的 密 钥 (ki 一 As ,ks) ,进行 三 次 加 密 。 

(4) DES-EDE2 模式 ,使 用 两 个 不 同 的 密 钥 CA: 一 As ,ks) ,采用 加 密 一 解密 一 加 密 模式 。 

3DES 有 两 个 显著 的 优点 : 首先 , 密 钥 长 度 是 112 位 (两 个 不 同 的 密 钥 ) 或 168 位 (三 个 
不 同 的 密 钥 ) ,对 抗 穷 举 攻击 的 能 力 得 到 极 大 加 强 。 其 次 .3DES 的 底层 加 密 算法 与 DES 的 
加 密 算 法 相同 ,而 迄今 为 止 没有 人 公开 声称 找到 了 针对 此 算法 有 比 穷 举 攻击 更 有 效 的 、 基 于 
算法 本 身 的 密码 分 析 攻 击 方法 。 如 果 仅 考虑 算法 安全 ,3DES 能 成 为 未 来 数 十 年 加 密 算法 
标准 的 合适 选择 。 

3DES 的 根本 缺点 在 于 用 软件 实现 该 算法 的 速度 比较 慢 。 这 是 因为 DES 一 开始 就 是 
为 硬件 实现 所 设计 的 ,难以 用 软件 有 效 地 实现 。 而 3DES 的 底层 加 密 算 法 与 DES 的 加 密 算 
法 相同 ,并且 计 算 过 程 中 轮 的 数量 三 倍 于 DES 中 轮 的 数量 , 故 其 速度 慢 得 多 。 另 一 个 缺点 
是 DES 和 3DES 的 分 组 长 度 均 为 64 位 。 就 效率 和 安全 性 而 言 ,分 组 长 度 应 更 长 。 

由 于 这 些 缺 陷 ,3DES 不 能 成 为 长 期 使 用 的 加 密 算法 标准 。 故 NIST 在 1997 年 公开 征 
集 新 的 高 级 加 密 标 准 , 要 求 安全 性 能 不 低 于 3DES, 同 时 应 具有 更 好 的 执行 性 能 。 


2.5 高 级 加 密 标 准 


三 重 DES 通过 增加 密 钥 长 度 , 在 强度 上 满足 了 当时 商用 密码 的 要 求 。 但 随 着 计算 机 硬 
件 的 飞速 发 展 ,计算 速度 不 断 提高 ; 另 一 方面 ,密码 分 析 技 术 也 不 断 进 步 ,使 得 人 们 对 DES 
的 安全 性 仍然 心 存疑 虑 。1997 年 ,美国 国家 标准 技术 研究 所 (NIST) 在 全 球 范围 内 征集 高 级 加 
密 标准 算法 。2002 年 10 月 ,NIST 宣布 “Rijndael 数据 加 密 算法 ”最 终 人 选 .并 将 于 2002 年 5 
月 正式 生效 。 实 际 上 ,目前 通称 的 AES 就 是 指 的 Rijndael 对 称 分 组 密码 算法 。AES 用 来 
在 将 来 取代 DES, 成 为 广泛 使 用 的 新 标准 。 

AES 算法 具有 和 良好 的 有 限 域 和 有 限 环 数学 理论 基础 :算法 随机 性 好 ,能 高 强度 隐藏 信 
息 , 同 时 又 保证 了 算法 可 逆 性 ,能 很 好 地 满足 加 解密 的 需求 。 算 法 的 软 硬 件 环境 适应 性 强 ， 
满足 多 平台 需求 。 算 法 简单 ,性 能 稳定 ,灵活 性 好 。 密 钥 使 用 方便 ,存储 需求 低 。 


2.5.1 数学 基础 : 有 限 域 GF(2s) 
设 GF(2) 是 由 0 和 1 构成 的 二 元 域 {0.1}。 令 GF(2) [zj] 是 FE 上 的 多 项 式 环 , 故 
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GF(2) [zj 中 有 乘法 和 加 法 两 种 运算 并 满足 自然 的 运算 规则 。 

设 mm(Cz) 一 碍 十 驻 十 妈 十 z 十 1CRijndael 中 x(x) 是 取 定 的 ), 则 mm(z) 是 一 个 不 可 约 多 项 式 ， 
从 而 由 域 GF(2) 二 {0,1} 上 的 多 项 式 环 GF(2) [xz] 以 m(z) 为 模 可 构造 一 个 域 GF(2) [z]/ 
Cmlz)) ;Wm GFE(2), 

因 GF(2) [zxj]/(m(xz)) 可 看 成 次 数 不 高 于 7 次 多 项 式 和 零 多 项 式 组 成 的 集合 , 恰 与 8 
位 长 的 二 进 制 数 有 一 个 1-1 对 应 关系 , 即 一 个 字 节 46 二 61660s0453bs010o 可 以 用 系数 为 0 或 1 
的 多 项 式 表示 : 

f(z) = br oor hsr hz bo 

因此 ,可 把 GF(2 ) 中 每 个 元 看 成 一 个 字 节 ,GF(2s ) 中 256 个 元 可 看 成 256 个 字 节 ,并 
赋予 相应 的 运算 。 例 如 ,十 六 进 制 数 5B 对 应 二 进 制 数 01011010 ,作为 一 个 字 节 对 应 多 项 式 
tn mh ln ie he 

GF(2*) 上 的 加 法 定义 为 二 进 制 多 项 式 的 加 法 ,其 系数 进行 模 1 加 , 即 异 或 运算 : 

c=aDBb, 1<i<7 
例如 ,十 六 进 制 数 59 和 7C 相 加 ,采用 多 项 式 记 法 ,有 : 
(Tz 十 zx 十 十 1) 十 (x 十 十 Xt 十 TX 十 TX?)= 二 x 十 xXx? 十 1 
则 59 十 7C 二 25。 多 项 式 加 法 和 字 节 为 单位 的 逐 位 异 或 结果 是 相同 的 。 
GF(2*) 上 的 乘法 定义 为 二 进 制 多 项 式 的 乘积 以 m(x) 二 x 十 x 十 十 x 十 1 为 模 约 减 
的 结果 , 即 
fi(r)» fs(x) mod m(z) 
例如 ,十 六 进 制 数 4B 和 51 相 乘 ,采用 多 项 式 记 法 ,有 : 
(zs 十 zs 十 六 十 1)。(ze 十 码 十 1) 
二 xz* 十 Zz* 十 Zz 十 Xz 十 x 十 ZT 十 Zz 十 1 mod m(x) 
王 :于 十 2 十 2 十 区 


即 4B 与 51 的 乘积 是 CA。 


2.5.2 AES 结构 


AES 算法 也 是 迭代 分 组 密码 ,明文 分 组 长 度 有 三 个 可 选 值 , 包 括 128、196、256 比特 ， 
128 位 是 使 用 最 广泛 的 。 密 钥 长 度 也 有 128、196、256 比特 三 种 ,实现 中 也 多 取 为 128 位 。 

AES 加 解密 的 流程 首先 进行 轮 密 钥 加 ,然后 进行 完全 相同 的 10 轮 迭 代 , 得 到 最 终 输 
出 ,如 图 2-10 所 示 。 

加 密 算法 和 解密 算法 的 输入 输出 均 为 128 位 的 分 组 ,用 4x4 的 矩阵 描述 ,矩阵 的 每 个 
元 素 是 一 个 字 节 ,可 看 作 GF(2*) 上 的 一 个 元 。 输 入 矩阵 首先 按照 先 列 后 行 的 规则 复制 到 中 
间 状 态 和 矩阵 ,该 状态 矩阵 在 加 密 或 解密 的 每 个 阶段 都 会 被 改变 .最 后 被 复制 到 输出 矩阵 中 。 
操作 过 程 如 下 : 

[® dads das a | | se。 So,1 So,z ss | | bs bs 6 | 
al das ao als 5S1,0 SI S12 S51,3 bs bs bs 
一 = 
az dads aio ~ i | ， ba bo | 


bs br bu bs 


ds dr dad ais 
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字 节 代 换 求 逆 
h 
行 移 位 求 逆 
字 节 代 换 
: 
行 移 位 
第 9 轮 i 1 
列 混 活 列 混淆 求 逆 
轮 密 钥 加 轮 密 钥 加 
t 第 1 轮 
字 节 代 换 守节 代 换 求 逆 
行 移 位 行 移 位 求 逆 
1 人 
轮 密 钥 加 轮 密 钥 加 
(a) 加 密 (b) 解密 


图 2-10 AES 加 密 和 解密 


128 位 的 密 钥 被 扩展 为 44 个 字 的 密 钥 序列 ,每 个 字 由 4 个 字 节 组 成 。 每 轮 加 解密 过 
程 ,各 有 4 个 字 (128 位 ) 的 密 钥 作为 该 轮 的 轮 密 钥 。 轮 密 钥 也 被 表示 成 矩阵 形式 ,大 小 与 状 
态 和 矩阵 相同 。 

算法 核心 由 10 轮 兴 代 运 算 组 成 ,加 解密 过 程 满足 可 北 性 。 每 轮 运算 由 四 个 不 同 的 阶段 
组 成 : 字 节 代 换 ., 行 移 位 、 列 混合 和 轮 密 钥 加 。 对 字 节 代 换 . 行 移 位 和 列 混合 ,在 解密 算法 中 
用 与 它们 相对 应 的 递 函数 。 轮 密 钥 加 的 逆 就 是 用 同样 的 轮 密 钥 和 分 组 相 异 或 ,其 原理 在 于 
AA®8B==B。 算法 的 第 1 轮 到 第 9 轮 执行 所 有 四 个 阶段 的 变换 ,最 后 一 轮 运算 略 有 不 同 ， 
只 包含 前 三 个 阶段 ,没有 列 混合 。 

1. 轮 密 钥 加 

轮 密 钥 加 就 是 对 128 位 的 初始 状态 矩阵 与 128 位 的 第 一 个 轮 密 钥 进行 异 或 运算 , 轮 密 
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钥 被 表示 成 与 状态 矩阵 同 大 小 的 矩阵 ,由 种 子 密 钥 通过 扩展 产生 。 逆 向 轮 密 钥 加 与 轮 密 钥 
加 相同 ,因为 异 或 操作 是 其 本 身 的 逆 。 

2. 字 节 代 换 

字 节 代 换 是 一 个 简单 的 查 表 操作 。AES 定义 了 一 个 S 盒 ,是 一 个 16X16 字 节 的 矩阵 ， 
包含 了 8 位 值 所 能 表达 的 256 种 可 能 的 变换 。 加 密 过 程 中 .每 个 字 节 按 照 如 下 的 方式 代 换 
为 一 个 新 的 字 节 : 把 该 字 节 的 高 4 位 作为 行 值 , 低 4 位 作为 列 值 ,然后 取出 S 盒 中 对 应 行列 
的 元 素 作 为 输出 。 例 如 ,十 六 进 制 值 (98)a 对 应 S 盒 的 行 值 是 9, 列 值 是 8,S 盒 中 在 此 位 置 
的 值 是 (46)n 。 相 应 地 ,(98)a 被 映射 为 (46)n。 解 密 过 程 中 ,每 个 字 节 则 通过 查 逆 S 盒 代 换 
为 一 个 新 的 字 节 。 

S 盒 按 如 下 的 方式 构造 : 

(1) 逐 行 按 升序 排列 的 字 节 值 初 始 化 S 盒 。 第 一 行 是 (00)a,(01)a,…,(COF)a; 第 二 行 
是 (10)a,(11)a,…,(1F)ar ,以 此 类 推 。 因 此 ,行列 y 的 字 节 值 是 (xy)n。 

(2) 把 S 盒 中 的 每 个 字 节 映射 为 它 在 有 限 域 GF(25) 中 的 乘法 逆 ; (00)a 被 映射 为 它 自 
身 。 即 对 于 aE GF(2s), 求 BE GF(2s) .使 得 

a*B=B*a=1 modm(zx) 

(3) 记 S 盒 中 的 每 个 字 节 为 x 二 (zo ,zi1,… ,zr)T。 然 后 通过 GF(2) 中 的 仿 射 变换 把 S 

盒 中 的 每 个 字 节 xz 代 换 为 y, 即 : 


了 ri 
证 1 

Yo | 0 

yi i 0 

:| 1 1 111000|l:|tlo 

Ss [oe i | 1 

DD 沪 革 和 | 

0 人 Lo 

道 S 盒 的 构造 中 则 使 用 此 仿 射 变换 的 逆 变 换 , 其 矩阵 表示 如 下 : 
DO 00 WO ri 

1 0 OO 00 LO 1 

| oY 0 0 0 "| 0 

Hi od 0 vn 0 

| 人 Bi 0 

yr | 1 
人 1 

0 可 Wk Lo 


通过 这 种 方式 构造 的 S 盒 和 道 S 盒 如 表 2-7 和 表 2-8 所 示 。 

S 盒 被 设计 成 能 防止 已 有 的 各 种 密码 分 析 攻 击 。Rijndael 密码 算法 的 开发 者 特别 寻求 
在 输入 位 和 输出 位 之 间 几 乎 没有 相关 性 的 设计 , 且 输 出 值 不 能 通过 利用 一 个 简单 的 数学 函 
数 变换 输入 值 所 得 到 。 
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表 2-7 AES 的 S 盒 


水 


04 C7 23 | C3 18 96 05 | 9A | 07 12 80 | E2 | EB | 27 B2 75 


wivic-lo 
区 
I] 
可 
[= 
© 
ba 
S 
3 
ww 
宁 
ww 
可 
可 
六 
| 
本 | 
oo 
kg 
> 
a 
加 
a 
可 
~ 
区 ] 
户 
号 
名 
oo 
它 
己 
a 


5 53 | DI | 00 |EID|201|1FCi|B |5B|6AICB|BE|39 |4A|4C|58 | CF 
6 DoO|EF|AA|FB|43|4D|33|85 | 45|F9|02|7F|50 |3C|9F | A8 
7 51 | A3 | 40 | 8F | 92 | 9D | 38 |F5|BC|Bs |DA|21 10 | FF | F3 | D2 
. 8 CD|oC|13|EC|S5F | 97 | 44 17 |C4|A7|7E|3D|64|5D| 19 73 
9 60 |81|4F|DC|22|2A|90|88|46|EE|Ds| 14 |DE| 5E | o0B | DB 
A|IE0|32|3A|0A|49|06 |24|5C|C2|D3|AC|62 | 91 96 95 79 
B E7 |C8|37|6D|8D|Ds|4E|A9|6C|56|F4|EA|65 |7A|AE| 08 
C|IBA|78|25|2E|1C|A6|IB4|C6|Es|DD|74 IF | 4B | BD | 8B | 8A 
D 70 |3E|Bs|66 | 48|03 |F6 |0OE |61 35 | 57|B9|86 |Cl |1D | 9E 
E El | F8 | 98 11 69 |D9|8E|94 | 9B|1E| 87 | ES |CE| 55 | 28 | DF 
F 8C |Al|89|0D| 了 BF |E6 | 42|68 |41 99 | 2D | OF | Bo | 54 | BB 16 
表 2-8 AES 的 逆 S 盒 
由 
0 2 3 4 5 6 8 9 A B C D E F 
0 52 | 09 |6A|D5|30|36 |A5|38 |BF| 40|A3| 9E| 81 F3 | D7 | FB 
1 7C | Eg|39|82 |9B|i|2F|EFF|87 |34|8E|43|44 |C |DE|E9 | CB 
2 54 | 7B | 94 32 | A6|C2|23|3D|EE|4C| 95|0B| 42|FA|C3| 4E 
3 08 |2E | Al|66|28|D9|24|B2|76|5B|A2|49 |6D|8B|DI 25 
4 72 |F8|F6|64|86 | 68 | 98 16 |D4|A4|5C|CC|S5D|65 | B6 92 
5 6C | 70 |48 |50|FD|ED|B9 |DAI5E|15 | 46|57 |A7|8D|9D| 84 
6 90 | D8 | AB| 00|8C|IBC|ID3|0A|F7|E4|58|05 |B8 |B3 | 45 06 
kd Do|2C|1E|S8F|CA|3F|0OF|02|Ci|AF|BD|o03 | 01 13 | 8A | 6B 
上 8 3A | 91 Y¥ 41 | 4F | 67 | DC|EA|97|F2|CF|ICE|FOoO|RB|Eé6 73 
9 96 | AC| 74|22|E7|AD|35|85 |E2|F9|37|EB|1C|75 |DF | 6E 
A 27 | BL | TR | .2 1D|29|C5|89 |6F|B7?|62|0E|AA|18|BE| 1B 
B |FC|56|3E| 4B|IC6|D2|79|20|9A|DB|ICO|FE|78|CD|S5A|F4 
C lF |DD| A8|33|88|07|c7|31|Bl 12 10 | 59 | 27 | 80 | EC | 5F 
D 60 | 51|7F|A9|19|B5|4A|0oD|2D| Es|7A| 9F| 93|cC9 | 9C | EF 
E |A0|E0|3B|4D|AE|I2A|FSs|Bo|C8|EB|BB|3C| 83| 53 99 61 
将 17 | 2B| 04|7E|BA|77|De|26 |EL | 69 14 | 63 | 55 | 21 | 0C | 7D 
3. 行 移 位 


加 密 过 程 中 使 用 正 向 行 移 位 :将 中 间 状 态 矩 阵 的 各 行进 行 循环 移 位 ,不 同行 的 移 位 量 不 
同 : 第 一 行 保持 不 变 ,第 二 行 循 环 左 移 一 个 字 节 ,第 三 行 循环 左 移 两 个 字 节 ,第 四 行 循环 左 
移 三 个 字 节 ,如 图 2-11 所 示 。 
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图 2-11 正 向 行 移 位 
解密 中 进行 逆向 行 移 位 ,将 状态 矩阵 的 后 三 行 执行 相反 方向 的 移 位 操作 。 
4. 列 混合 
列 混 合 对 状态 矩阵 的 每 列 独立 地 进行 操作 ,将 每 列 看 作 系 数 在 GF(2) 中 次数 小 于 4 
的 多 项 式 , 再 与 一 个 同 定 多 项 式 进行 模 zx! 十 1 的 乘法 运算 ,把 每 列 中 的 每 个 字 节 被 映射 为 一 
个 新 值 。 列 混合 变换 可 巾 下 面 的 矩阵 乘法 表示 。 


S00 S01 $0,2 50,3 02 03 01 O01]fsoo so sos sos 
S10 SI S12 S13 |ol 02 03 01||so Sl S12 S13 
52,0 S21 S2,2 S23 机 01 01 02 02|| so Sal S22 $2,3 
$3,0 S31 S32 S33 03 01 02 02JLsao Sa 83,2 $3,3 


这 里 的 乘法 是 定义 在 有 限 域 GF(2) 的 ,s;, 与 si, 代表 中 间 状 态 和 矩阵 的 元 素 。 
解密 过 程 中 进行 逆向 列 混淆 变换 ,可 由 如 下 的 矩阵 乘法 定义 : 
S00 S01 S02 80,3 OE 0B 0D 091]|soe sol sos os 
0 09 OE 0B 0D||s,o sl sz ls 


全 省 0OD 09 OE 0Bijlsz。 S21 S52,2 52,3 
‘2 S43 oOB 0D 09 OEjJ|sso ss sa $3,3 


二 Sy Re 
$2,0 S21 5 


i . > 
$3,0 $3,1 5 


2.5.3 ” AES 密 钥 扩 展 


AES 密 钥 扩展 算法 把 4 个 字 ( 每 个 字 4 字 节 , 共 16 字 节 ) 的 种 子 密 钥 扩展 成 一 个 44 字 
(176 字 节 ) 的 一 维 密 钥 数组 ,然后 把 最 前 面 的 4 个 字 对 应 到 初始 轮 密 钥 和 矩阵 , 接 下 来 的 4 个 
字 作 为 第 一 轮 的 密 钥 和 矩阵 ,以 此 类 推 。 

种 子 密 钥 被 直接 复制 到 扩展 密 钥 数组 的 前 4 个 字 . 然 后 每 次 用 4 个 字 填 充 数组 余下 的 
部 分 。 在 扩展 密 钥 数组 中 ,w[ 门 的 值 依 赖 于 w[i 一 1 和 w[i 一 4]。 根 据 w 数组 中 下 标 i 对 4 
的 取 余 结果 分 成 4 种 情形 ,其 中 三 种 使 用 了 蜡 或 ,而 对 下 标 为 4 的 倍数 的 元 素 采用 了 更 复杂 
的 函数 来 计算 ,该 函数 包括 以 下 3 个 步骤 : 

@O 字 循 环 , 使 一 个 字 中 的 4 个 字 节 循环 左 移 一 个 字 节 。 

@ 字 节 代 换 ,利用 S 盒 对 输入 字 中 的 每 个 字 节 进行 字 节 代 换 。 

@ 步骤 @ 和 步骤 四 的 结果 再 与 轮 常量 相 异 或 。 

轮 常量 是 一 个 字 , 这 个 字 最 右边 三 个 字 节 总 为 0。 每 轮 的 轮 常 量 均 不 同 , 其 定义 为 
Reon[j] 二 (RC[7]j],0,0,0) ,其 中 RC[L1] 王 1,RC[I 门 天 2。RC[UD 一 1]( 乘 法 是 定义 在 域 GF(2s) 
上 )。RC[ 站 的 值 以 十 六 进 制 表 示 为 : 


了 1 2 3 4 5 6 7 8 9 10 


RC[L;J 01 02 04 08 10 20 40 80 1B 36 
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2.5.4 AES 安全 性 


尽管 Rijndael 算法 的 安全 性 仍 处 在 深入 讨论 中 ,但 人 们 对 AES 的 安全 性 还 是 达成 了 以 
下 几 个 共识 : 

(1) 该 算法 对 密 钥 选择 没有 限制 ,迄今 没有 发 现 弱 密 钥 和 半 弱 密 钥 的 存在 。 

(2) 因为 密 钥 长 度 相 较 于 DES 大 大 加 长 ,可 以 有 效 抗击 穷 举 密 钥 攻击 。 

(3) 可 以 有 效 抵抗 线性 攻击 和 差分 攻击 。 

(4) 可 以 抵抗 积分 密码 分 析 。 

目前 还 没有 关于 有 效 攻击 Rijndael 算法 的 公开 报道 。 


2.6 RC4 


2.6.1 流 密码 


在 流 密码 中 ,加 密 和 解密 每 次 只 处 理 数据 流 的 一 个 符号 (如 一 个 字符 或 一 个 比特 )。 典 
型 的 流 密 码 算法 每 次 加 密 一 个 字 节 的 明文 。 密 钥 输入 到 一 个 伪 随 机 数 ( 比 特 ) 发 生 器 ,该 伪 
随机 数 发 生 咒 产生 一 串 随 机 的 8 比特 数 , 称 为 密 钥 流 ,通过 与 同一 时 刻 一 个 字 节 的 明文 流 进 
行 异 或 (XOR) 操 作 产 生 密 文 流 。 解 密 需要 使 用 相同 的 伪 随 机 序列 ,与 密 文 相 异 或 ,得 到 
明文 。 

流 密 码 类 似 于 “一 次 一 密 ”, 不 同 的 是 “一 次 一 密 ” 使 用 的 是 真正 的 随机 数 流 ,而 流 密码 使 
用 的 是 伪 随 机 数 流 。 通 过 设计 合适 的 伪 随 机 数 发 生 器 : 流 密 码 可 以 提供 和 相应 密 钥 长 度 分 
组 密码 相当 的 安全 性 。 流 密码 的 主要 优点 是 ,其 相当 于 分 组 密码 来 说 ,往往 速度 更 快 而 且 需 
要 编写 的 代码 更 少 。 


2.6.2 RC4 算法 


RC4 是 Ron Rivest 在 RSA 公司 设计 的 一 种 可 变 密 钥 长 度 的 、 面 向 字 节 操作 的 流 密码 。 
RC4 可 能 是 应 用 最 广泛 的 流 密码 。 它 被 用 于 SSL/TLS( 安 全 套 接 字 协议 /传输 层 安全 协议 ) 
标准 ,以 保护 互联 网 的 Web 通信 。 它 也 应 用 于 作为 IEEE 802. 11 无 线 局 域 网 标准 一 部 分 的 
WEP(Wired Equivalent Privacy) 协 议 ,保护 无 线 链接 的 安全 。 

RC4 算法 非常 简单 ,易于 描述 。 它 以 一 个 足够 大 的 表 S 为 基础 ,对 表 进 行 非 线 性 变换 ， 
产生 密 钥 流 。 一 般 S 表 取 作 256 字 节 大 小 ,用 可 变 长 度 的 种 子 密 钥 K(1~256 个 字 节 ) 初 始 
化 表 S,S 的 元 素 记 为 SL0]、S[1]、S[255]。 加 密 和 解密 的 时 候 , 密 钥 流 中 的 一 个 字 节 由 S 
中 256 个 元 素 按 一 定 方 式 选 出 一 个 元 素 而 生成 .同时 S 中 的 元 素 被 重新 置换 一 次 。 

1. 初始 化 S 

对 S 进行 线性 填充 ,S 中 元 素 的 值 被 置 为 按 升 序 从 0 到 255, 即 SL0] 王 0,SL1] 王 1,…， 
S[255] 二 255。 同 时 用 种 子 密 钥 填充 另 一 个 256 字 节 长 的 K 表 。 如 果 种 子 密 钥 的 长 度 为 
256 字 节 , 则 将 种 子 密 钥 赋 给 K; 否则 ,车 密 钥 长 度 为 n(n 二 256) 字 节 , 则 将 K 的 值 赋 给 工 
的 前 个 元 素 , 并 循环 重复 用 种 子 密 钥 的 值 赋 给 K 剩 下 的 元 素 . 直 到 K 的 所 有 元 素 都 被 
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赋值 。 
然后 用 K 产生 S 的 初始 置换 ,从 SL0J] 到 SL255], 对 每 个 S[ 让 ,根据 由 K[ 门 确定 的 方 
案 , 将 S[] 置 换 为 S 中 的 另 一 字 节 : 
j= 0 
fori= 0 to255 do 
j 一 4 十 S[i] 十 K[i)mod 256; 
Swap(S[i] ,S[j]); 
因为 对 S 的 操作 仅 是 交换 ,所 以 唯一 的 改变 就 是 置换 。S 仍然 包含 所 有 值 为 0 一 255 的 
元 素 。 
2. 密 钥 流 的 生成 
表 S 一旦 完成 初始 化 ,输入 密 钥 就 不 再 被 使 用 。 为 密 钥 流 生成 字 节 的 时 候 , 从 SL0J] 到 
S[255] 随 机 选取 元 素 , 并 修改 S 以 便 下 一 次 的 选取 。 对 每 个 S[ 门 ,根据 当前 S 的 值 ,将 
S[ 避 与 S 中 的 另 一 字 节 置换 。 当 SL255] 完 成 置换 后 ,操作 继续 重复 ,从 SL0O] 开 始 。 选 取 算 
法 描述 如 下 : 
i,j 一 0 
while( true) 
i=(i 二 1)mod 256; 
j 三 G 十 S[i)mod 256; 
Swap(S[i] ,SD])， 
t=(S[i] 十 SU])mod 256; 
k = S[t]; 


加 密 中 ,将 天 的 值 与 下 一 明文 字 节 异 或 ; 解密 中 .将 K 的 值 与 下 一 密 文字 节 异 或 。 


2.7 基于 对 称 密码 的 通信 保密 性 


数据 加 密 作为 一 项 基本 技术 是 安全 的 基石 。 历 史上 ,密码 学 的 主要 作用 就 是 用 来 实现 
保密 性 。 认 证 、 完 整 性 、 数 字 签 名 等 技术 ,是 密码 学 最 近 几 十 年 才 出 现 的 新 理论 和 应 用 。 
本 节 主 要 讨论 如 何 用 对 称 密码 对 传输 的 数据 流 进行 加 密 , 以 实现 通信 的 保密 性 。 


2.7.1 加 密 功 能 的 设置 


如 果 要 用 加 密 来 对 抗 危害 保密 性 的 攻击 ,首先 要 确定 加 密 功 能 在 系统 中 的 设置 位 置 。 
通常 加 密 功 能 的 设置 有 三 种 方法 : 链 路 加 密 、 结 点 加 密 和 端 到 端 加 密 。 

1. 链 路 加 密 

对 于 两 个 网 络 结 点 间 的 通信 链 路 , 链 路 加 密 能 为 传输 的 数据 提供 安全 保证 。 链 路 加 密 
将 加 密 功 能 设置 在 通信 链 路 两 端 , 所 有 消息 在 被 传输 之 前 进行 加 密 ,传输 路 径 上 的 每 一 个 结 
点 接收 到 消息 后 首先 进行 解密 ,然后 使 用 下 一 个 链 路 的 密 钥 对 消息 进行 加 密 ,再 进行 传输 。 
依次 进行 ,直至 到 达 目 的 地 。 由 于 在 每 一 个 中 间 传 输 结 点 消息 均 被 解密 后 重新 进行 加 密 , 包 
括 路 由 信息 在 内 的 链 路 上 的 所 有 数据 均 以 密 文 形式 出 现 。 这 样 . 链 路 上 的 信息 传输 可 以 是 
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安全 的 。 

同时 ,为 了 对 抗 通信 业务 量 分 析 , 还 可 以 使 用 传输 填充 技术 。 传 输 填充 持续 地 产生 密 
文 , 即 使 没有 明文 输入 。 有 明文 输入 时 ,就 将 明文 加 密 , 然 后 发 送 ; 没有 明文 输入 时 ,就 把 随 
机 数 加 密 并 发 送 。 这 使 得 攻击 者 难以 区 分 真实 数据 和 无 用 数据 , 故 不 能 分 析出 传输 流量 。 

链 路 加 密 功 能 一 般 设置 在 网 络 中 处 于 较 低 的 层次 。 在 开放 式 系 统 互 连 (OSD) 模 型 中 ， 
它 处 在 物理 层 或 链 路 层 。 

尽管 链 路 加 密 在 计算 机 网 络 环境 中 使 用 得 相当 普遍 ,但 它 并 非 没 有 问题 。 首 先 , 链 路 加 
密 要 求 先 对 链 路 两 端的 加 密 设 备 进 行 同步 ,然后 使 用 一 种 链 模式 对 链 路 上 传输 的 数据 进行 
加 密 ,这 给 网 络 的 性 能 和 可 管理 性 带 来 了 副作用 。 其 次 ,在 每 个 交换 结 点 上 都 需要 将 消息 解 
密 , 因 为 交换 时 要 用 到 数据 包头 ,以 便 寻 址 。 因 此 , 链 路 加 密 仅 在 通信 和 链 路 上 提供 安全 性 ,网 
络 结 点 上 消息 以 明文 形式 存在 ,这 就 要 求 所 有 结 点 在 物理 上 必须 是 安全 的 ,否则 就 会 泄露 明 
文 内 容 。 而 保证 每 一 个 结 点 的 安全 性 需要 较 高 的 费用 。 最 后 ,所 有 潜在 链 路 都 要 使 用 链 路 
加 密 。 共 享 一 条 链 路 的 每 对 结 点 应 共享 唯一 的 密 钥 。 这 样 , 整 个 网 络 上 密 钥 的 数目 就 会 很 
大 , 密 钥 分 配 在 链 路 加 密 系统 中 就 成 了 一 个 问题 ,因为 每 一 个 结 点 必须 存储 与 其 相连 接 的 所 
有 链 路 的 加 密 密 钥 。 

2. 结 点 加 密 

结 点 加 密 能 给 网 络 数据 提供 较 高 的 安全 性 ,但 它 在 操作 方式 上 与 链 路 加 密 是 类 似 的 : 
两 者 均 在 通信 链 路 上 为 传输 的 消息 提供 安全 性 :都 在 中 间 结 点 先 对 消息 进行 解密 ,然后 进行 
加 密 传 输 。 因 为 要 对 所 有 传输 的 数据 进行 加 密 , 所 以 加 密 过 程 对 用 户 是 透明 的 。 与 链 路 加 
密 不 同 之 处 在 于 , 结 点 加 密 不 允许 消息 在 网 络 结 点 以 明文 形式 存在 , 它 先 把 收 到 的 消息 进行 
解密 ,然后 采用 另 一 个 不 同 的 密 钥 进行 加 密 , 这 一 过 程 是 在 结 点 上 的 一 个 安全 模块 中 进行 。 

结 点 加 密 要 求 包 头 和 路 由 信息 以 明文 形式 传输 ,以 便 中 间 结 点 能 得 到 如 何 处 理 消 息 的 
信息 。 因 此 这 种 方法 对 于 防止 攻击 者 分 析 通 信 业 务 是 脆弱 的 。 

3. 端 到 端 加 密 

端 对 端 加 密 的 过 程 在 两 端 系 统 中 进行 。 由 发 送 方 主 机 加 密 数 据 , 密 文 经 由 网 络 传送 到 
接收 方 主机 ,接收 方 主机 使 用 与 源 主机 共享 的 密 钥 对 密 文 进行 解密 。 在 端 到 端 加 密 方式 中 ， 
数据 被 传输 时 到 达 终 点 之 前 不 进行 解密 ,传输 过 程 中 始终 以 密 文 形式 存在 。 这 样 ,消息 在 整 
个 传输 过 程 中 均 受 到 保护 ,即使 有 结 点 被 损坏 也 不 会 使 消息 泄露 。 

端 到 端 加 密 方式 不 能 对 整个 数据 包 加 密 ,因为 传输 路 径 上 的 交换 结 点 接收 到 密 文 包 后 
不 能 解密 数据 包 读 取信 息 头 .无 法 进行 数据 包 的 路 由 。 因 此 , 端 对 端 加 密 只 对 用 户 数据 进行 
加 密 ,信息 头 保持 明文 。 通 过 这 种 方式 ,用 户 数 据 是 安全 的 .但 是 不 能 掩盖 被 传输 消息 的 源 
点 与 终点 ,因此 它 对 于 防止 攻击 者 分 析 通 信 业 务 是 脆弱 的 ,传输 过 程 不 安全 了 ,所 以 端 对 端 
加 密 需 提供 认证 。 如 果 两 个 末端 系统 共享 一 个 加 密 密 钥 . 那 么 接收 者 可 以 确信 接收 到 的 任 
何 消息 是 从 合法 发 送 者 处 来 的 。 链 路 加 密 机 制 是 不 含 这 种 认证 的 。 

端 对 端 加 密 功 能 的 逻辑 位 置 可 有 几 种 选择 。 应 用 级 别 较 低 的 话 , 它 可 以 用 在 网 络 层 。 
对 于 网 络 层 加 密 ,任何 一 个 末端 系统 都 可 以 进行 加 密 数 据 的 交换 ,只 需 与 对 方 末 端 系统 共享 
一 个 密 钥 ,该 末端 系统 所 有 的 用 户 进程 和 应 用 都 使 用 相同 的 密 钥 和 加 密 机 制 来 与 某 目标 末 
端 系统 联系 。 将 加 密 功 能 用 于 端 对 端 协议 ,例如 TCP 协议 ,可 以 提供 整个 网 络 的 端 对 端 传 
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输 的 安全 性 。 但 是 ,这 种 方案 不 便 穿 过 网 关 . 不 能 用 于 网 络 之 间 的 服务 。 端 对 端 加 密 还 可 以 
在 应 用 层 上 进行 ,缺点 是 牵连 的 实体 个 数 太 多 ,要 生成 和 分 配 的 密 钥 数 也 就 太 大 。 

端 到 端 加 密 系统 的 价格 便宜 ,并 且 与 链 路 加 密 和 结 点 加 密 相 比 更 可 靠 ,更 容易 设计 、 实 
现 和 维护 。 端 到 端 加 密 方 式 中 每 个 数据 包 均 是 独立 被 加 密 的 ,一 个 数据 包 所 发 生 的 传输 错 
误 不 会 影响 后 续 的 数据 包 , 避 免 了 其 他 加 密 系 统 所 固有 的 同步 问题 。 此 外 ,从 用 户 对 安全 需 
求 的 直觉 上 讲 , 端 到 端 加 密 更 自然 些 。 单 个 用 户 可 能 会 选用 这 种 加 密 方法 ,以 便 不 影响 网 络 
上 的 其 他 用 户 ,此 方法 只 需要 源 和 目的 结 点 是 保密 的 即 可 。 


2.7.2 密 钥 分 配 


对 称 密码 要 求 消息 交换 双方 共享 密 钥 ,并且 此 密 钥 不 为 他 人 所 知 。 此 外 , 密 钥 要 经 常 变 
动 , 以 防 攻击 者 知道 。 因 此 ,任何 密码 系统 的 强度 都 与 密 钥 分 配方 法 有 关 。 对 于 参与 者 A 
和 B, 密 钥 的 分 配 有 以 下 几 种 办 法 : 

(1) 密 钥 由 A 选择 ,并 亲自 交 给 B。 

(2) 第 三 方 C 选择 密 钥 后 亲自 交 给 A 和 了 B。 

(3) 如 果 A 和 B 以 前 或 最 近 使 用 过 某 密 钥 ,其 中 一 方 可 以 用 它 加 密 一 个 新 密 钥 后 再 发 
送 给 另 一 方 。 

(4) A 和 B 与 第 三 方 C 均 有 秘密 渠道 , 则 C 可 以 将 一 密 钥 分 别 秘密 发 送 给 A 和 B。 

方法 (1) 和 方法 (2) 需 要 人 工 传送 密 钥 ,适用 于 密 钥 数 目 较 少 且 距 离 不 远 的 情况 ,例如 链 
路 加 密 , 因 为 每 个 链 路 加 密 设 备 仅 同 链 路 另 一 方 进行 数据 交换 。 但 人 工 传送 不 适 于 端 对 端 
加 密 。 在 分 布 式 系统 ,特别 是 那些 广 域 分 布 系统 中 , 某 一 主机 可 能 需要 和 其 他 任何 主机 经 常 
交换 数据 ,需要 大 量 动态 产生 的 密 钥 。 

方法 (3) 既 可 用 于 链 路 加 密 ,也 可 用 于 端 对 端 加 密 。 但 是 如 果 攻 击 者 曾经 成 功 获取 一 个 
密 钥 , 则 所 有 的 子 密 钥 都 暴露 了 。 此 外 ,成 千 上 万 个 初始 密 钥 的 分 发 还 是 一 个 困难 。 

假设 方法 (4) 中 的 第 三 方 是 一 个 密 钥 分 配 中 心 , 负 责 分 发 密 钥 给 需要 的 用 户 ( 主 机 、 进 
程 、 应 用 )。 每 个 用 户 与 密 钥 分 配 中 心 共享 一 个 密 钥 ,此 密 钥 用 于 密 钥 分 配 。 这 种 方式 可 应 
用 于 端 到 端 加 密 。 典 型 的 密 钥 分 配 模式 如 图 2-12 所 示 。 


(1 IDalliDallN' 


~ 
CE 


密 钥 分 配 
中 心 


2) Eee [Kl1DsllIDalINIDIECK,, [Ks, ID4]) 


(3) E(Ks, [KJIID4) 


(5) EC f(N»)) 


2-12 ” 密 钥 分 配 过 程 
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这 种 模式 假定 每 个 用 户 与 密 钥 分 配 中 心 (KDC) 共 享 唯一 的 一 个 主 密 钥 。 设 A 要 与 B 
建立 一 个 逻辑 连接 ,需要 用 一 个 一 次 性 的 会 话 密 钥 来 保护 数据 的 传输 。A 有 一 个 除了 它 外 
只 有 KDC 知道 的 密 钥 K。 ,同样 ,B 有 一 个 Ke 。 具 体 过 程 是 这 样 的 : 

(1) A 向 KDC 请 求 一 个 会 话 密 钥 以 保护 与 B 的 逻辑 连接 。 消 息 中 有 A 和 B 的 标识 及 
唯一 的 标识 Ni ,这 个 标识 称 为 临时 交互 号 Cnonce) 。 临 时 交互 号 可 以 是 一 个 时 间 惟 、 计 数值 
或 者 随机 数 ,只 要 每 次 通话 时 不 同 就 可 以 了 。 

(2) KDC 以 用 开 。 加 密 的 消息 做 出 响应 。 所 以 只 有 A 能 够 得 到 正确 的 消息 ,并 可 知 它 
来 自 于 KDC。 消 息 中 有 两 项 内 容 是 给 A 的 : 

@ 一 次 性 会 话 密 钥 K, ,用 于 会 话 。 

@ 原始 请 求 消息 ,包括 临时 交互 号 ,以 使 A 使 用 适当 的 请 求 匹配 这 个 响应 。 

因此 ,A 可 验证 其 原始 请 求 在 被 KDC 接收 前 不 会 更 改 , 且 由 于 临时 交互 号 ,这 不 是 某 
些 以 前 消息 的 重 放 。 

此 外 ,消息 中 有 两 项 内 容 是 给 B 的 : 

@ 一 次 性 会 话 密 钥 K, ,用 于 会 话 。 

@@ A 的 标识 符 IDA( 如 A 的 网 络 地 址 )。 

这 两 项 用 Ks, (KDC 与 B 共享 的 主 密 钥 ) 加 密 。 它 们 将 发 送 给 B, 以 建立 连接 并 证 明 A 
的 标识 。 

(3) A 存 下 会 话 密 钥 备用 ,并 将 消息 的 后 两 项 发 给 B, 即 E(K,[K, | IDA]) 因 为 这 两 项 
用 Ks 加 密 了 ,所 以 可 防止 窃听 。 现 在 B 已 知道 会 话 密 钥 K, ,知道 它 稍 后 的 通话 伙伴 是 A 
(来 自 IDa), 且 知道 这 些 消息 来 自 于 KDC( 因 为 它 是 用 K 加 密 的 ) 。 

这 样 ,会 话 密 钥 就 安全 地 发 给 了 A 和 B。 它 们 可 以 开始 受 保护 的 信息 交换 了 。 不 过 ， 
还 有 第 (4) 步 和 第 (5) 两 步 。 

(4) B 发 送 一 个 临时 交互 号 Ns 的 密 文 给 A。 

(5) A 发 送 FCNa) 的 密 文 (以 K, 加 密 ) 给 B, 其 中 f(N;) 是 Na 的 一 个 函数 ,如 加 1。 

这 两 步 保 证 B 原来 所 收 到 (第 (3) 步 ) 的 报 文 不 是 一 个 重 放 。 

注意 ,实际 的 密 钥 分 配 过 程 只 包含 第 (1) 步 至 第 (3) 步 ,而 第 (4) 步 和 第 (5) 步 以 及 第 (3) 
步 起 了 认证 的 作用 。 

网 络 规模 很 大 的 时 候 , 可 以 使 用 层次 式 KDC. 由 一 些 本 地 KDC 负责 整个 网 络 中 的 一 个 
小 区 域 。 
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一 般 理 解 , 密 码 学 就 是 保护 信息 传递 的 机 密 性 ,但 机 密 性 仅仅 是 当今 密码 学 一 个 主 
题 。 对 信息 发 送 方 与 接收 方 的 身份 验证 、 对 所 发 出 /接收 信息 在 事后 的 不 可 抵赖 以 及 保 
障 数据 的 完整 性 是 现代 密码 学 另外 一 些 重要 主题 。 公 钥 密 码 体制 对 这 些 问题 都 给 出 了 出 
色 的 解答 。 

1976 年 Diffie 和 Hellman 发 表 了 “密码 学 的 新 方向 ”一 文 ,提出 了 公开 密 钥 密码 体制 
(简称 公 钥 密码 体制 ) 的 思想 , 葛 定 了 公 钥 密码 学 的 基础 。 公 钥 密 码 体 制 是 现代 密码 学 的 最 
重要 的 发 明和 进展 ,开创 了 密码 学 的 新 时 代 。 

传统 的 对 称 密码 体制 中 ,加 密 和 解密 使 用 相同 的 密 钥 .每 对 用 户 之 间 都 需要 共享 一 个 密 
钥 , 而 且 需 要 保持 该 密 钥 的 机 密 性 。 当 通信 的 用 户 数目 比较 多 的 时 候 , 密 钥 的 产生 、 存 储 和 
分 发 是 一 个 很 大 的 问题 。 而 公 钥 密码 体制 则 将 加 密 密 钥 .解密 密 钥 甚至 加 密 算法 .解密 算法 
分 开 ,用 户 只 需 掌 握 解密 密 钥 ,而 将 加 密 密 钥 和 加 密 函 数 公 开 。 任 何人 都 可 以 加 密 , 但 只 有 
掌握 解密 密 钥 的 用 户 才能 解密 。 公 钥 密 码 体制 从 根本 上 改变 了 密 钥 分 发 的 方式 ,给 密 钥 管 
理 带 来 了 诸多 便利 。 公 钥 密 码 体 制 不 仅 用 于 加 解密 ,而 且 可 以 广泛 用 于 消息 鉴别 .数字 签名 
和 身份 认证 等 服务 ,是 密码 学 中 一 个 开创 性 的 成 就 。 

公 钥 密码 体制 的 最 大 优点 是 适应 网 络 的 开放 性 要 求 , 密 钥 管 理 相 对 于 对 称 密码 体制 要 
简单 地 多 。 但 是 , 公 钥 密码 体制 并 不 会 取代 对 称 密码 体制 ,原因 在 于 公 钥 密码 体制 算法 相对 
复杂 ,加 解密 速度 较 慢 。 实 际 应 用 中 , 公 钥 密码 和 对 称 密码 经 常 结合 起 来 使 用 ,加 解密 使 用 
对 称 密码 技术 ,而 密 钥 管理 使 用 公 钥 密码 技术 。 


3.1 公 钥 密码 体制 原理 


从 密码 学 产生 至 20 世纪 70 年 代 公 钥 密 码 产生 之 前 ,传统 密码 体制 ,包括 古典 密码 和 现 
代 对 称 密码 ,都 是 基于 替换 和 置换 这 些 初 等 方法 。 公 钥 密 码 学 与 其 前 的 密码 学 完全 不 同 。 
首先 , 公 钥 算法 建立 在 数学 函数 基础 上 ,而 不 是 基于 替换 和 置换。 其 安全 性 基于 数学 上 难 解 
的 问题 ,如 大 整数 因子 分 解 问题 ` 有 限 域 的 离散 对 数 问题 .平方 剩余 问题 ` 椭 圆 曲 线 的 离散 对 
数 问 题 等 。 其 次 ,与 只 使 用 一 个 密 钥 的 传统 密码 技术 不 同 , 公 钥 密码 学 是 非 对 称 的 ,加 /解密 
分 别 使 用 两 个 独立 的 密 钥 : 加 密 密 钥 可 对 外 界 公 开 , 称 为 公开 密 钥 或 公 钥 ; 解密 密 钥 只 有 
所 有 者 知道 , 称 为 秘密 密 钥 或 私 钥 。 公 钥 和 私 钥 之 间 具 有 紧密 联系 ,用 公 钥 加 密 的 信息 只 能 
用 相应 的 私 钥 解 密 , 反 之 亦 然 。 要 想 由 一 个 密 钥 推 知 另 一 个 密 钥 ,在 计算 上 是 不 可 能 的 。 基 
于 公 钥 密码 体制 ,通信 双方 无 需 预 先 商定 密 钥 就 可 以 进行 秘密 通信 ,克服 了 对 称 密码 体制 中 
必须 事先 使 用 一 个 安全 通道 约定 密 钥 的 缺点 。 
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3.1.1 公 钥 密码 体制 

公 钥 密码 算法 依赖 于 一 个 加 密 密 钥 和 一 个 与 之 相关 的 不 同 的 解密 密 钥 ,这 些 算法 都 具 
有 下 述 重 要 特点 : 

。 加 密 / 解 密 算法 相同 ,但 使 用 不 同 的 密 钥 。 

。 发 送 方 拥有 加 密 密 钥 或 解密 密 钥 ,而 接收 方 拥有 另 一 个 密 钥 。 

。 根据 密码 算法 和 加 密 密 钥 以 及 若干 密 文 ,要 恢复 明文 在 计算 上 是 不 可 行 的 。 

。 根据 密码 算法 和 加 密 密 钥 ,确定 对 应 的 解密 密 钥 在 计算 上 是 不 可 行 的 。 

公 钥 密码 体制 有 6 个 组 成 部 分 ,如 图 3-1 所 示 。 

(1) 明文 。 算 法 的 输入 。 它 们 是 可 读 信息 或 数据 。 

(2) 加 密 算法 。 加 密 算法 对 明文 进行 各 种 转换 。 

(3) 公 钥 和 私 钥 。 算 法 的 输入 。 这 对 密 钥 中 一 个 用 于 加 密 , 一 个 用 于 解密 。 加 密 算法 
执行 的 变换 依赖 于 公 钥 和 私 钥 。 

(4) 密 文 。 算 法 的 输出 。 它 依赖 于 明文 和 密 钥 ,对 给 定 的 消息 ,不 同 的 密 钥 产生 的 密 文 
不 同 。 

(5) 解密 算法 。 该 算法 接收 密 文 和 相应 的 密 钥 ,并 产生 原始 的 明文 。 


了 


Alice 的 私 钥 


明文 输入 加 密 算法 (如 RSA) 解密 算法 (加 密 算法 的 逆 ) ”明文 输出 
图 3-1 公 钥 密码 体制 


公 钥 密码 体制 的 主要 工作 步骤 包括 : 

JD 每 一 用 户 产生 一 对 密 钥 ,分 别 用 来 加 密 和 解密 消息 。 

@ 每 一 用 户 将 其 中 一 个 密 钥 存 于 公开 的 寄存 器 或 其 他 可 访问 的 文件 中 ,该 密 钥 称 为 公 
钥 。 另 一 密 钥 是 私有 的 。 任 一 用 户 可 以 拥有 若干 其 他 用 户 的 公 钥 。 

@ 发 送 方 用 接收 方 的 公 钥 对 消息 加 密 。 

@ 接收 方 收 到 消息 后 ,用 其 私 钥 对 消息 解密 。 由 于 只 有 接收 方 知道 其 自身 的 私 钥 , 所 
以 其 他 的 接收 者 均 不 能 解密 出 消息 。 

利用 这 种 方法 ,通信 各 方 均 可 访问 公 钥 .而 私 钥 是 各 通信 方 在 本 地 产生 的 ,所 以 不 必 进 
行 分 配 。 只 要 用 户 的 私 钥 受 到 保护 ,保持 秘密 性 ,那么 它 的 通信 就 是 安全 的 。 在 任何 时 刻 ， 
系统 可 以 改变 其 私 钥 ,并 公布 相应 的 公 钥 以 替代 原来 的 公 钥 。 

表 3-1 总 结 了 对 称 密码 和 公 钥 密码 的 一 些 重要 特征 。 
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表 3-1 对 称 密码 和 公 钥 密码 


密 码 类 型 对 称 密 码 公 钥 密码 
般 要 求 加 密 和 解密 使 用 相同 的 密 钥 同一 算法 用 于 加 密 和 人 解密 ,但 加 密 和 解密 使 用 不 同 密 钥 
- 收发 双方 必须 共享 密 钥 发 送 方 拥有 加 密 或 解密 密 钥 ,而 接收 方 拥有 另 一 密 钥 
密 钥 必 须 是 保密 的 两 个 密 钥 之 一 必须 是 保密 的 


若 没 有 其 他 信息 , 则 解密 消息 | 若 没 有 其 他 信息 , 则 解密 消息 是 不 可 能 或 至 少 是 不 可 
安全 性 要 求 | 是 不 可 能 或 至 少 是 不 可 行 的 行 的 
知道 算法 和 若干 密 文 不 足以 | 知道 算法 和 其 中 一 个 密 钥 以 及 若干 密 文 不 足以 确定 另 一 
确定 密 钥 密 钥 


公 钥 密码 的 两 种 基本 用 途 是 用 来 进行 加 密 和 认证 。 不 妨 假设 消息 的 发 送 方 为 A, 相 应 
的 密 钥 对 为 (PUA,PRA) ,其 中 PUA 表示 A 的 公 钥 ,PRA 表示 A 的 私 钥 。 同 理 . 假 设 消息 的 
接收 方 为 了 ,相应 的 密 钥 对 为 (PUs .PRs) ,其 中 PUs 表示 B 的 公 钥 ,PRs 表示 B 的 私 钥 。 现 
A 欲 将 消息 X 发 送 给 B。A 从 自己 的 公 钥 环 中 取出 接收 方 B 的 公 钥 PUs ,对 作为 输入 的 消 
息 X 和 加 密 密 钥 PUs ,A 生成 密 文 Y: 
Y= E(PUs.,X) 
B 收 到 加 密 消息 后 ,用 自己 的 私 钥 PRs 对 密 文 进行 解密 ,恢复 明文 X: 
X= D(PRs.Y) 


A 的 公 钥 环 
PRB 
| | 


明文 消息 MM 密 文 消息 C 明文 输出 M 
发 送 方 A 一 一 一 让 加 密 算法 六 解密 算法 睹 一 一 > 接收 方 B 


整个 过 程 如 图 3-2 所 示 。 


3-2 ” 公 钥 密码 用 于 保密 


由 于 A 是 用 B 的 公 钥 PUs 对 消息 进行 加 密 , 因 此 只 有 用 B 的 私 钥 PRs 才能 解密 密 文 
Y, 而 B 的 私 钥 PRs 是 由 BB 秘密 保 存 的 。 由 于 攻击 者 没有 B 的 私 钥 PRs, 因 此 攻击 者 仅 根 
据 密 文 C 和 B 的 公 钥 PUs 解密 消息 是 不 可 能 的 。 由 此 ,就 实现 了 保密 性 的 功能 。 


B 的 公 钥 环 
PRA 


明文 输出 M 
厂 一 一 > 接收 方 B 


明文 消息 MY 
发 送 方 A 


3-3 公 钥 密码 用 于 认证 
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除了 用 于 实现 保密 性 之 外 , 公 钥 密码 还 可 以 用 来 实现 认证 功能 .实现 过 程 如 图 3-3 所 
示 。 在 这 种 方法 中 ,A 向 B 发 送 消 息 前 , 先 用 A 的 私 钥 PRA 对 消息 X 加密: 
Y = E(PRasX) 
B 则 用 A 的 公 钥 PUA 对 消息 解密 : 
X= D(PUA,Y) 
由 于 只 有 发 送 方 A 拥有 私 钥 PRA ,因此 只 要 接收 方 B 能 够 正确 解密 密 文 了, 就 可 以 认 
为 消息 的 确 是 由 发 送 方 A 发 出 的 。 这 样 就 实现 了 对 发 送 方 A 的 身份 认证 。 
上 述 方法 是 对 整 条 消息 加 密 , 尽 管 这 种 方法 可 以 验证 发 送 方 和 消息 的 有 效 性 ,但 却 需 要 
大 量 的 存储 空间 。 在 实际 使 用 中 ,只 对 一 个 称 为 认证 符 的 小 数据 块 加 密 , 它 是 该 消息 的 函 
数 , 对 该 消息 的 任何 修改 必然 会 引起 认证 符 的 变化 。 
在 图 3-3 所 示 认 证 过 程 中 ,由 于 攻击 者 也 可 以 知道 A 的 公 钥 ,因此 攻击 者 也 可 以 解密 密 
文 消息 Y。 也 就 是 说 ,这 里 只 能 实现 认证 能 力 ,而 无 法 实现 保密 能 力 。 如 果 要 同时 实现 保密 
和 认证 功能 ,需要 对 消息 进行 两 次 加 密 , 如 图 3-4 所 示 。 
源 人 宿 B 
三 三 


| Wn | 


| (wm | 


加 密 算法 | 


PRA 


图 3-4 公 钥 密码 用 于 保密 和 认证 


在 这 种 方法 中 ,发 送 方 首 先 用 其 私 钥 对 消息 加 密 ,得 到 数字 签名 ,然后 再 用 接收 方 的 公 
钥 加 密 : 


Z= E(PUs,E(PRA,X)) 
所 得 的 密 文 只 能 被 拥有 相应 私 钥 的 接收 方 解 密 : 
X= D(PUA,D(PRs ,2)) 
这 种 方式 既 可 实现 消息 的 保密 性 ,又 可 以 实现 对 发 送 方 的 身份 认证 。 但 这 种 方法 的 缺 
点 是 ,在 每 次 通信 中 要 执行 四 次 复杂 的 公 钥 算法 。 


3.1.2 对 公 钥 密码 的 要 求 


Diffie 和 Hellman 给 出 了 公 钥 密码 体制 应 满足 的 5 个 基本 条 件 : 
(1) 产生 一 对 密 钥 ( 公 钥 PU., 私 钥 PR) 在 计算 上 是 容易 的 。 
(2) 已 知 接收 方 B 的 公 钥 PUs 和 要 加 密 的 消息 M. 消 息 发 送 方 A 产生 相应 的 密 文 在 计 
算 上 是 容易 的 : 
C= E(PUs,M) 
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(3) 消息 接收 方 B 使 用 其 私 钥 对 接收 的 密 文 解密 以 恢复 明文 在 计算 上 是 容易 的 : 
M = D(OPRa,C) = DIPRs,E(PUs,M)] 

(4) 已 知 公 和 钥 PUs 时 ,攻击 者 要 确定 对 应 的 私 钥 PRs 在 计算 上 是 不 可 行 的 。 

(5) 已 知 公 钥 PUs 和 密 文 C, 攻 击 者 要 恢复 明文 M 在 计算 上 是 不 可 行 的 。 

有 研究 者 认为 还 可 以 增加 下 面 一 个 附加 条 件 。 

加 密 和 解密 函数 的 顺序 可 以 交换 , 即 : 

M = DLPUs ,EC(PRa,M)] = DLPRas,E(PUs ,MD)] 

例如 ,著名 的 RSA 密码 就 满足 上 述 附加 条 件 。 但 是 ,这 一 条 件 并 不 是 必须 的 ,不 是 所 有 
的 公 钥 密码 应 用 都 满足 该 条 件 。 

在 公 钥 密码 学 概念 提出 后 的 几 十 年 中 ,只 有 两 个 满足 这 些 条 件 的 算法 (RSA ,椭圆 曲线 
密码 体制 ) 为 人 们 普遍 接受 ,这 一 事实 表明 要 满足 上 述 条 件 是 不 容易 的 。 这 是 因为 , 公 钥 密 
码 体制 是 建立 在 数学 中 的 单 向 陷 门 函数 的 基础 之 上 的 。 

单 向 函数 是 满足 下 列 性 质 的 函数 : 每 个 函数 值 都 存在 唯一 的 逆 ; 对 定义 域 中 的 任意 x， 
计算 函数 值 f(x) 是 非常 容易 的 ; 但 对 了 的 值 域 中 的 所 有 yy, 计算 广 :(y) 在 计算 上 是 不 可 行 
的 , 即 求 逆 是 不 可 行 的 。 

一 个 单 向 函数 ,如 果 给 定 某 些 辅助 信息 ( 称 为 陷 门 信息 ) ,就 易于 求 逆 , 则 称 这 样 的 单 向 
函数 为 一 个 陷 门 单 向 函数 。 即 单 向 陷 门 函数 是 满足 下 列 条 件 的 一 类 可 逆 函 数 fi: 

。 若 k 和 XX 已 知 , 则 容易 计算 Y= fi(X)。 

。 若 kk 和 YY 已 知 , 则 容易 计算 X=f7r?(Y)。 

。 若 Y 了 已 知 但 & 未 知 , 则 计算 出 X=fi?(Y) 是 不 可 行 的 。 

公 钥 密码 体制 就 是 基于 这 一 原理 ,将 辅助 信息 ( 陷 门 信息 ) 作 为 私 钥 而 设计 的 。 这 类 密 
码 的 安全 强度 取决 于 它 所 依据 的 问题 的 计算 复杂 度 。 由 此 可 见 , 寻 找 合 适 的 单 向 陷 门 函数 
是 公 钥 密码 体制 应 用 的 关键 。 目 前 比较 流行 的 公 钥 密码 体制 主要 有 两 类 : 一 类 是 基于 大 整 
数 因子 分 解 问 题 的 ,最 典型 的 代表 是 RSA; 另 一 类 是 基于 离散 对 数 问题 的 ,例如 椭圆 曲线 公 
钥 密 码 体 制 。 


3.2 RSA 算法 


MIT 的 Ron Rivest,Adi Shemir 和 Len Adleman 于 1978 在 题 为 《获得 数字 签名 和 公开 
钥 密码 系统 的 方法 》 的 论文 中 提出 了 基于 数论 的 非 对 称 密码 体制 , 称 为 RSA 密码 体制 。 
RSA 算法 是 最 早 提 出 的 满足 要 求 的 公 钥 算法 之 一 ,也 是 被 广泛 接受 且 被 实现 的 通用 公 钥 加 
密 方法 。 

RSA 是 一 种 分 组 密码 体制 .其 理论 基础 是 数论 中 “大 整数 的 素 因 子 分 解 是 困难 问题 ”的 
结论 , 即 求 两 个 大 素数 的 乘积 在 计算 机 上 时 容易 实现 的 ,但 要 将 一 个 大 整数 分 解 成 两 个 大 素 
数 之 积 则 是 困难 的 。RSA 公 钥 密码 体制 安全 、 易 实现 ,是 目前 广泛 应 用 的 一 种 密码 体制 , 既 
可 以 用 于 加 密 , 又 可 以 用 于 数字 签名 。 


3.2.1 算法 描述 
RSA 明文 和 密 文 均 是 0 一 xz 一 1 之 间 的 整数 ,通常 n 的 大 小 为 1024 位 二 进 制 数 , 即 小 
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这 2 
1. 密 钥 生 成 
首先 必须 生成 一 个 公 钥 和 对 应 的 私 钥 。 选 择 两 个 大 素数 p 和 g (一 般 约 为 256 比特 ),p 
和 4 必须 保密 。 计 算 这 两 个 素数 的 乘积 nn 一 pXg, 并 根据 欧 拉 函 数 计算 小 于 n 且 与 n 互 素 
的 正 整数 的 数目 : 
$n) = (p—1)(g— 1) 
随机 选择 与 %(z) 互 素 的 数 ec, 则 得 到 公 钥 二 e,z 二 。 计 算 e mod $8(n) 的 乘法 逆 d, 即 4 
满足 : 
eXxXd==1(mod $(n)) 
则 得 到 了 私 钥 二 4d,n 二 。 
2. 加 密 运算 
在 RSA 算法 中 ,明文 以 分 组 为 单位 进行 加 密 。 将 明文 消息 M 按照 比特 长 度 分 组 ,依次 
对 每 个 分 组 做 一 次 加 密 , 所 有 分 组 的 密 文 构成 的 序列 即 是 原始 消息 的 密 文 C。 加 密 算 法 如 下 : 
C 一 Me modn 
其 中 收发 双方 均 已 知 nn, 发送 方 已 知 e, 只 有 接收 方 已 知 d。 
3. 解密 运算 
解密 算法 如 下 : 
M= Cmodn= (M)*modn= M” modn 
图 3-5 归纳 总 结 了 RSA 算法 。 


密 钥 产生 

选择 p 和 g p 和 gq 都 是 素数 ,pg 
计算 n=pXxg 
计算 $m)==(p 一 1)(g 一 1) 
选择 整数 e gcd($(n) ,e)=1; 1 一 e 一 4C2) 
计算 a de ! (mod $(1)) 
公 钥 PU= {e,n} 
私 钥 PR= {d.n} 

加 密 
明文 : M=n 
密 文 : C=M modn 

解密 
密 文 : C 
明文 : M 一 C* mod 


图 3-5 RSA 算 法 
RSA 的 缺点 主要 有 以 下 两 点 : 
(1) 产生 密 钥 很 麻烦 ,受到 素数 产生 技术 的 限制 ,因而 难以 做 到 一 次 一 密 。 
(2) 分 组 长 度 太 大 ,为 保证 安全 性 ,n 至 少 也 要 600 位 以 上 ,使 运算 代价 很 高 ,尤其 是 速 
度 较 慢 , 较 对 称 密码 算法 慢 几 个 数量 级 ; 且 随 着 大 数 分 解 技 术 的 发 展 ,这 个 长 度 还 在 增加 ， 
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不 利于 数据 格式 的 标准 化 。 因 此 ,一般 来 说 RSA 只 用 于 少量 数据 加 密 。 
3.2.2 RSA 的 安全 性 


1. 因子 分 解 

RSA 算法 的 安全 性 是 建立 在 “大 整数 因子 分 解困 难 ” 这 一 事实 上 。 由 算法 过 程 可 以 看 
出 ,分解 与 求 $(7) 等 价 , 车 分 解 出 的 因子 , 则 RSA 算法 将 变 得 不 安全 。 因 此 分 解 n 是 
最 明显 的 攻击 方法 。 

利用 因子 分 解 进行 的 攻击 主要 有 如 下 几 种 具体 作法 : 

(1) 分 解 n 为 两 个 素 因 子 pXg。 这 样 就 可 以 计算 出 $(7w) 二 (p 一 1)(g 一 1), 从 而 可 以 计 
算出 d 夺 e”! (mod $(n))。 

(2) 直接 确定 gq(n) 而 不 先 确定 p 和 g。 这 同样 也 可 以 确定 4d 寺 e (mod $(n))。 

对 RSA 的 密码 分 析 的 讨论 大 都 集中 于 第 一 种 攻击 方法 ,即将 分解 为 两 个 素数 因子 从 
而 计算 出 私 钥 。RSA 的 安全 性 依赖 于 大 数 分 解 , 但 是 否 等 同 于 大 数 分 解 一 直 未 能 得 到 理论 
上 的 证 明 ,因为 没有 证 明 破 解 RSA 就 一 定 需 要 作 大 数 分 解 。 目 前 ,RSA 的 一 些 变种 算法 已 
被 证 明 等 价 于 大 数 分 解 。 不 管 怎样 ,分 解 n 是 最 明显 的 攻击 方法 ,大 量 的 数学 高 手 也 试图 通 
过 这 个 途径 破解 RSA ,但 至 今 一 无 所 获 。 因 此 ,从 经 验 上 讲 ,RSA 是 安全 的 。 

但 需要 注意 的 是 ,尽管 因子 分 解 具有 大 素数 因子 的 数 仍然 是 一 个 难题 ,但 已 不 像 以 前 
那么 困难 。 计 算 能 力 的 不 断 增强 和 因子 分 解 算法 的 不 断 改进 ,给 大 密 钥 的 使 用 造成 威胁 。 
因此 我 们 在 选择 RSA 的 密 钥 大 小 时 必须 选 大 一 些 ,一 般 而 言 取 在 1024 一 2048 位 ,具体 大 小 
视 应 用 而 定 。 

为 了 防止 可 以 很 容易 地 分 解 n,RSA 算法 的 发 明 者 建议 p 和 9 还 应 满足 下 列 限制 条 件 : 

(1) p 和 g 的 长 度 应 仅 相差 几 位 。 这 样 对 1024 位 的 密 钥 而 言 ,p 和 g 都 应 约 在 105 一 
102" 之 间 。 

(2) (一 1) 和 (一 1) 都 应 有 一 个 大 的 素 因 子 。 

(3) gcd(p 一 1.g 一 1) 应 该 较 小 。 

另外 ,已 经 证 明 , 若 ce 二 n 且 d 二 mn , 则 < 很 容易 被 确定 。 

2. 选择 密 文 攻击 

RSA 在 选择 密 文 攻击 面前 很 脆弱 。 一 般 攻 击 者 是 将 某 一 信息 作 一 下 伪装 ,让 拥有 私 钥 
的 实体 签署 。 然 后 ,经 过 计算 就 可 得 到 它 所 想 要 的 信息 。 

例如 ,Eve 在 Alice 的 通信 过 程 中 进行 窃听 ,获得 了 一 个 用 她 的 公开 密 钥 加 密 的 密 文 C， 
并 试图 恢复 明文 。 从 数学 上 讲 , 即 计算 光一 C* mod n。 为 了 恢复 加 ,Eve 首先 选择 一 个 随机 
数 r(r<z) ,然后 计算 : 


T=rmodn, y=zxC modn 
以 及 + mod nn 的 乘法 道上:. 即 上 满足 
tiXr 一 1mod7 
现在 Eve 想方设法 让 Alice 用 她 的 私 钥 对 y 整体 签名 : 
u= y modn 


因为 > 一 ze mod n, 所 以 r-!x* mod 7 一 1. 通 过 计算 
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titXumodnQ=riy modn=7r’ 7x C"modnQ=C modnQ=m 

Eve 就 轻松 得 获得 Alice 发 的 明文 m 了 。 

实际 上 ,攻击 利用 的 都 是 同一 个 弱点 . 即 存在 这 样 一 个 事实 : 乘 需 保留 了 输入 的 乘法 
结构 : 

(XxXxM)"*= XxXxM’modn 

这 个 固有 的 问题 来 自 于 公 钥 密码 系统 的 最 有 用 的 特征 : 每 个 人 都 能 使 用 公 钥 。 从 算法 
上 无 法 解决 这 一 问题 ,主要 措施 有 两 条 : 一 条 是 采用 好 的 公 钥 协议 ,保证 工作 过 程 中 实体 不 
对 其 他 实体 任意 产生 的 信息 解密 ,不 对 自己 一 无 所 知 的 信息 签名 ; 另 一 条 是 决 不 对 陌生 人 
送 来 的 随机 文档 签名 ,签名 时 首先 对 文档 作 Hash 处 理 , 或 同时 使 用 不 同 的 签名 算法 。 


3.3 ElIGamal 公 钥 密码 体制 


ElGamal 公 钥 密码 体制 是 由 ElGamal 于 1985 年 提出 来 的 ,是 一 种 基于 离散 对 数 问题 
的 密码 体制 。ElGamal 既 可 以 用 于 加 密 . 又 可 以 用 于 签名 ,是 RSA 之 外 最 有 代表 性 的 公 钥 
密码 体制 之 一 ,并 得 到 了 广泛 的 应 用 。 数 字 签 名 标准 DSS 就 是 采用 了 ElGamal 签名 方案 的 
一 种 变形 。 
1. 密 钥 生成 
首先 选择 一 个 大 素数 p .并 要 求 p 有 大 素数 因子 。Z 是 一 个 有 p 个 元 素 的 有 限 域 ,Z; 是 
Z。 中 非 零 元 构成 的 乘法 群 ,gE Zi 是 一 个 本 源 元 。 然 后 选择 随机 数 上 ,满足 1 三 kp 一 1。 
计算 > 一 8 mod pp, 则 公 钥 为 (y,g.k), 私 钥 为 及 。 
2. 加 密 算法 
待 加 密 的 消息 为 ME Z,。 选 择 随机 数 ~E 2Zj_1 .然后 计算 : 
C=g modp 
C: = My modp 
则 密 文 C= (Ci ,Cs ) 。 
3. 解密 算法 
收 到 密 文 C= (Ci ,Cs) 后 ,执行 以 下 计算 : 
M=C/Ct modp 
则 消息 M 被 恢复 。 
4. EIGamal 安全 性 
ElGamal 密码 体制 的 安全 性 基于 有 限 域 Z 上 的 离散 对 数 问题 的 困难 性 。 目 前 , 尚 没有 
求解 有 限 域 Z。 上 的 离散 对 数 问题 的 有 效 算法 。 所 以 当 户 足够 大 时 (一 般 是 160 位 以 上 的 
十 进 制 数 ) ,ElGamal 密码 体制 是 安全 的 。 
此 外 ,加 密 中 使 用 了 随机 数 r。r 必须 是 一 次 性 的 ,否则 攻击 者 获得 7 就 可 以 在 不 知道 
私 钥 的 情况 下 加 密 新 的 密 文 。 
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随 着 计算 机 网 络 的 发 展 . 人 们 对 网 络 上 传递 敏感 信息 的 安全 性 要 求 也 越 来 越 高 ,密码 技 
术 得 到 了 广泛 应 用 。 随 之 而 来 的 .如何 生成 .分 发 .管理 密 钥 也 成 为 一 个 重要 的 问题 。 密 钥 
管理 的 核心 问题 是 : 确保 使 用 中 的 密 钥 能 安全 可 靠 。 

根据 应 用 场合 的 不 同 , 密 钥 可 以 分 成 以 下 几 类 。 

工作 密 钥 ,也 叫 基本 密 钥 或 初始 密 钥 。 由 用 户 选 定 或 系统 分 配 . 使 用 期 限 一 般 较 长 ,如 
数 月 甚至 一 年 等 。 

会 话 密 钥 , 即 通 信 双 方 交 换 数据 时 使 用 的 密 钥 。 会 话 密 钥 一 般 由 通信 双方 协商 决定 ,也 
可 由 密 钥 分 配 中 心 分 配 。 会 话 密 钥 大 多 是 临时 的 ,动态 的 ,可 以 降低 密 钥 的 分 配 和 存储 的 
数目 。 

密 钥 加 密 密 钥 ,主要 用 于 对 要 传送 的 会 话 密 钥 进行 加 密 , 也 叫做 二 级 密 钥 。 

主机 主 密 钥 ,对 应 于 层次 化 密 钥 管理 结构 中 的 最 顶层 ,主要 用 于 对 密 钥 加 密 密 钥 进行 加 
密 保 护 ,一 般 保 存 于 主 结 点 ,受到 严格 保护 。 

公 钥 密码 体制 的 主要 作用 之 一 就 是 解决 密 钥 分 配 问题 。 公 钥 密 码 可 用 于 下 列 两 个 不 同 
的 方面 : 

(1) 公 钥 密码 体制 中 的 公 钥 分 配 。 

(2) 对 称 密码 体制 中 的 密 钥 分 配 。 


3.4.1 公 钥 分 配 


人 们 已 经 提出 了 几 种 公 钥 分 配方 法 ,所 有 这 些 方法 本 质 上 可 归结 为 下 列 几 种 方法 : 

。 广播 式 公 钥 分 发 ; 

。 目录 式 公 钥 分 发 ; 

。 公 钥 授权 ; 

。 公 和 钥 证 书 。 

1. 广播 式 的 公 钥 发 布 

公 钥 密码 算法 的 特点 就 是 公 钥 可 以 公开 .因此 如 果 有 像 RSA 这 样 为 人 们 广泛 接受 的 公 
钥 算 法 ,那么 任 一 通信 方 可 以 将 他 的 公 钥 发 送 给 另 一 通信 方 或 广播 给 通信 各 方 。 例 如 ,用 于 
邮件 安全 的 PGP 就 是 在 消息 后 面 附 上 公 钥 ,并 将 其 发 送 到 网 络 上 。 虽 然 这 种 方法 比较 简 
便 , 但 它 有 一 个 较 大 的 缺点 , 即 任何 人 都 可 以 伪造 这 种 公 钥 的 公开 发 布 。 也 就 是 说 , 某 个 用 
户 可 以 假冒 是 用 户 A 并 将 一 个 公 钥 发 送 给 通信 的 另 一 方 或 广播 该 公 钥 ,在 用 户 A 发 现 这 种 
假冒 并 通知 其 他 各 方 之 前 ,该 假冒 者 可 以 读 取 所 有 本 应 发 送 给 A 的 加 密 后 的 消息 ,并 且 可 
以 用 伪造 的 密 钥 进行 认证 。 因 此 .需要 对 收 到 的 公 钥 进行 鉴别 。 

2. 公开 可 访问 的 目录 

由 可 信和 机构 负责 维护 一 个 动态 可 访问 的 公 钥 的 公开 目录 ,这 种 方式 可 以 获得 更 大 程度 
的 安全 性 ,参见 图 3-6。 这 种 方法 包含 下 面 几 方面 的 内 容 。 


54 计算 机 网 络 安全 


(1) 可 信 机 构 通 过 对 每 一 通信 方 建立 一 个 目录 项 一 用 户 名 , 公 钥 二 来 建立 .维护 该 公 铀 
目录 。 

(2) 各 通信 方 通过 访问 该 目录 来 注册 一 个 公 
钥 。 注 册 必 须 亲 自 或 通过 安全 的 认证 通信 来 进行 。 

(3) 通信 方 可 以 随时 访问 该 公 钥 目录 ,以 及 申 
请 删除 .修改 、 更 新 当前 的 公 钥 。 这 可 能 是 因为 公 
钥 已 用 于 大 量 的 数据 ,因而 用 户 希望 更 换 公 钥 ,也 
可 能 是 因为 相应 的 私 钥 已 经 泄密 。 

(4) 为 安全 起 见 ,通信 方 和 可 信 机 构 之 间 的 通 es 
信 受 鉴别 保护 。 

这 种 方法 显然 比 由 个 人 公开 发 布 公 钥 要 安全 ,但 是 它 也 存在 缺点 。 如 果 攻击 者 获得 或 
计算 出 目录 管理 员 的 私 钥 , 则 他 可 以 发 布 伪造 的 公 钥 ,假冒 任何 通信 方 .以 窃取 发 送 给 该 通 
信 方 的 消息 。 另 外 ,攻击 者 也 可 以 通过 修改 目录 管理 员 保存 的 记录 来 达到 这 一 目的 。 

3. 公 钥 授权 

通过 更 加 严格 地 控制 目录 中 的 公 钥 分 配 ,可 使 公 钥 分 配 更 加 安全 。 图 3-7 举例 说 明了 
一 个 典型 的 公 钥 分 配方 案 。 像 公 钥 授权 方案 一 样 , 该 方案 假定 由 一 个 专门 的 权威 机 构 负 责 
维护 一 个 包含 所 有 通信 方 公 钥 的 动态 目录 , 除 此 之 外 ,每 一 通信 方 可 靠 地 知道 该 目录 管理 员 
的 公 钥 ,并 且 只 有 管理 员 知道 相应 的 私 钥 。 这 种 方案 主要 用 于 通信 方 A 要 与 B 通信 时 ,向 
权威 机 构 请 求 B 的 公 钥 ,主要 包含 以 下 步骤 (与 图 3-7 中 序号 对 应 ) ; 


(1) Requestl|Time! (4) RequestllTime> 


(2) E(PRaun,[PUBllRequestl|Time]) 
(5) E(PRaum'[PUAIIRequestllTime>]) 


(3) E(PUB,[IDAIIND) 


(6) E(PUAa.[NilIN2]) 
(7) E(PUBs, N;) 
3-7 ” 公 钥 授权 


(1) A 发 送 一 条 带 有 时 间 戳 的 消息 给 目录 管理 员 ,以 请 求 B 的 当前 公 钥 。 
(2) 管理 员 给 A 发 送 一 条 用 其 私 钥 PR 加 密 的 消息 ,这 样 A 就 可 用 管理 员 的 公 钥 对 
接收 到 的 消息 解密 ,因此 A 可 以 确信 该 消息 来 自 管理 员 。 这 条 消息 包括 下 列 内 容 : 
。，B 的 公 钥 PUs。A 可 用 它 对 要 发 送 给 B 的 消息 加 密 。 
。 原 始 请 求 。 这 样 A 可 以 将 该 请 求 与 其 最 初 发 出 的 请 求 进行 比较 ,以 验证 在 管理 员 收 
到 请 求 之 前 ,其 原始 请 求 未 被 修改 。 
。 原始 时 间 惟 。 这 样 A 可 以 确定 它 收 到 的 不 是 来 自 管理 员 的 旧 消 息 ,该 旧 消 息 中 包含 
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的 不 是 B 的 当前 公 钥 。 

(3) A 保存 B 的 公 钥 ,并 用 它 对 包含 A 的 标识 (IDA) 和 临时 交互 号 (Ni ) 的 消息 加 密 , 然 
后 发 送 给 B。 这 里 ,临时 交互 号 是 用 来 唯一 标识 本 次 交易 的 。 

(4) 与 A 检索 B 的 公 钥 一 样 ,B 以 同样 的 方法 从 管理 员 处 检索 出 A 的 公 钥 。 

至 此 A 和 B 已 安全 地 获得 了 彼此 的 公 钥 ,双方 的 信息 交换 将 受到 保护 。 尽 管 如 此 ,但 
是 最 好 还 包含 下 面 两 步 : 

(5) B 用 PUs 对 A 的 临时 交互 号 (Ni) 和 B 所 产生 的 新 临时 交互 号 (Ns) 加 密 , 并 发 送 给 
A。 因 为 只 有 B 可 以 解密 消息 (3), 所 以 消息 (6) 中 的 Ni 。 可 以 使 A 确信 其 通信 伙伴 就 是 B。 

(6) A 用 B 的 公 钥 对 加 Ns 加 密 并 发 送 给 B, 以 使 B 相信 其 通信 伙伴 是 A。 

这 样 ,总 共 需 要 发 送 7 条 消息 。 但 是 由 于 A 和 B 可 保存 另 一 方 的 公 钥 以 备 将 来 使 用 
(这 种 方法 称 为 暂 存 ) ,所 以 并 不 会 频繁 地 发 送 前 面 4 条 消息 。 不 过 为 了 保证 通信 中 使 用 的 
是 当前 公 钥 ,用 户 应 定期 地 申请 对 方 的 当前 公 钥 。 

4. 公 和 钥 证 书 

在 公 钥 授权 方案 中 ,只 要 用 户 与 其 他 用 户 通信 ,就 必须 向 目录 管理 员 申请 对 方 的 公 钥 ， 
因此 公 钥 管理 员 就 会 成 为 系统 的 瓶颈 。 像 前 面 一 样 , 目 录 管 理 员 所 维护 的 含有 用 户 名 和 公 
钥 的 目录 也 容易 被 算 改 。 

公 钥 证 书 方法 最 早 是 由 Kohnfelder 提出 的 ,目的 是 使 得 通信 各 方 使 用 证 书 来 交换 公 
钥 ,而 无 需 一 个 权威 机 构 的 在 线 服务 。 在 某 种 意义 上 ,这 种 方案 与 直接 从 权威 机 构 处 获得 公 
钥 的 可 靠 性 相同 。 公 钥 证 书包 含 公 钥 和 公 钥 拥有 者 的 标识 ,并 由 可 信 的 第 三 方 进行 签名 。 
通常 ,第 三 方 是 一 个 权威 机 构 ,如 政府 机 构 ,或 者 金融 机 构 ,为 整个 用 户 群 所 信任 。 一 个 用 户 
以 一 种 安全 的 方式 将 他 的 公 钥 交 给 权威 机 构 的 公 钥 管理 员 , 从 而 获得 一 个 证 书 , 并 公开 自己 
的 公 钥 证 书 。 任 何 需 要 该 用 户 公 钥 的 人 都 可 以 获得 这 个 证 书 .并 通过 查看 附带 的 权威 机 构 
的 签名 来 验证 证 书 的 有 效 性 。 通 信和 一 方 也 可 以 通过 传递 证 书 的 方式 将 他 的 密 钥 信息 传达 给 
另 一 方 。 这 种 方法 应 满足 下 列 要 求 : 

(1) 任何 通信 方 可 以 读 取证 书 并 确定 证 书 拥 有 者 的 身份 和 公 钥 。 

(2) 任何 通信 方 可 以 验证 该 证 书 是 否 由 权威 机 构 签发 ,以 及 是 否 有 效 。 

(3) 只 有 权威 机 构 才 可 以 签发 并 更 新 证 书 。 

图 3-8 举例 说 明了 证 书 方 法 。 每 一 通信 方向 权威 机 构 的 证 书 管理 员 提 供 一 个 公 钥 ,并 
申请 一 个 公 钥 证 书 。 申 请 必须 由 当事人 亲自 或 通过 某 种 安全 的 认证 通信 提出 。 对 于 申请 者 
A ,管理 员 提 供 如 下 形式 的 证 书 : 

Ca 一 下 (PR [LT IDa || PUA]) 
其 中 PR 是 证 书 管理 员 的 私 钥 .T 是 时 间 戳 。A 将 该 证 书 发 送 给 其 他 通信 各 方 , 他 们 以 如 
下 方式 来 验证 证 书 : 
DPR amrOs Y= D(CERm ECPR as LT 1D | POM. = {TID | PURY 

接收 方 用 管理 员 的 公 钥 PU 对 证 书 解密 。 因 为 只 用 管理 员 的 公 钥 才 可 读 取 证 书 , 因 
此 接收 方 可 验证 证 书 确实 是 出 自 证 书 管理 员 ; IDA 和 了 PUA 向 接收 方 提供 证 书 拥有 者 的 身份 
标识 和 公 钥 ; 时 间 戳 工 用 来 验证 证 书 的 当前 性 .抵抗 攻击 者 的 重 放 攻 击 。 假 设 A 的 私 钥 泄 
露 ,产生 新 的 公 / 私 钥 对 并 向 证 书 管理 员 申 请 新 的 证 书 ; 而 此 时 ,攻击 者 重 放 A 的 旧 证 书 给 
B。 车 BB 用 A 的 旧 公 钥 加 密 消 息 . 则 攻击 者 可 读 取消 息 。 
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CA=E(PRaun.[TimelllIDAlIPUAJ) 
Ce=E(PRaun[ Time,llIDallPUB]) 


图 3-8 ” 公 角 证 书 交换 


在 这 种 情形 下 , 私 钥 的 泄密 就 如 同 信用 卡 丢 失 一 样 , 卡 的 持 有 者 会 注销 信用 卡号 ,但 只 
有 在 所 有 可 能 的 通信 方 均 已 知 旧 信 用 卡 已 过 时 的 时 候 , 才 能 保证 卡 的 持 有 者 的 安全 。 因 此 ， 
时 间 惟 有些 像 截止 日 期 。 若 一 个 证 书 太 旧 , 则 认为 证 书 已 失效 。 


3.4.2 公 钥 密码 用 于 对 称 密码 体制 的 密 钥 分 配 


如 果 已 分 配 了 公开 可 访问 的 公 钥 ,那么 就 可 以 进行 安全 的 通信 ,这 种 通信 可 以 抗 窃听 和 
算 改 。 但 是 由 于 公 钥 密码 算法 速度 较 慢 , 几 乎 没有 人 愿意 在 通信 中 完全 使 用 公 钥 密码 ,因此 
公 钥 密码 更 适合 作为 对 称 密码 体制 中 实现 密 钥 分 配 的 一 种 手段 。 
1. 简单 的 对 称 密 钥 分 配 
一 种 简单 的 对 称 密 钥 分 配方 法 如 图 3-9 所 示 。 若 A 要 与 B 通 信 , 则 执行 下 列 操作 : 
(1) PUAIIIDA 


B 
(2) E(PUA, Ks) 


图 3-9 使 用 公 钥 密码 建立 会 话 密 钥 


(1) A 产生 公 / 私 钥 对 {PU ,PRA} ,并 将 含有 PUA 和 其 标识 IDA 的 消息 发 送 给 B。 

(2) B 产生 秘密 钥 K., 并 用 A 的 公 钥 对 K, 加 密 后 发 送 给 A。 

(3) A 计算 DIOPRA ,ECPUA , 开 .)) 得 出 秘密 钥 Ks;。 因 为 只 有 A 能 解密 该 消息 ,所 以 只 
有 人 A 和 B 知道 KK,。 

(4) A 丢掉 PUA 和 PRA.B 丢掉 PUA。 

这 样 ,A 和 B 就 可 利用 对 称 密码 算法 和 会 话 密 钥 K. 安全 地 通信 。 密 钥 交 换 完成 后 ,A 
和 B 均 丢弃 KK,。 上 述 协议 由 于 在 通信 前 和 通信 和 完成 后 都 没有 密 钥 存在 .所 以 密 钥 汇 密 的 可 
能 性 最 小 ,同时 这 种 通信 还 可 以 抗 窃听 攻击 。 

图 3-9 所 示 的 协议 是 不 安全 的 ,因为 对 手 可 以 截获 消息 ,然后 可 以 重 放 截获 的 消息 或 者 
对 消息 进行 替换 。 这 样 的 攻击 称 为 中 间 人 攻击 。 此 时 ,如 果 攻 击 者 EE 能 够 控制 通信 信道 ， 
那么 他 可 用 下 列 方式 对 通信 造成 危害 但 又 不 被 发 现 : 

(1) 产生 公 / 私 钥 对 {PUs ,PRA} ,并 将 含有 PU。 和 其 标识 IDA 的 消息 发 送 给 B。 
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(2) EE 截获 该 消息 ,产生 其 公 / 私 钥 对 {PUE ,PRs)} ,并 将 PUE | IDA 发 送 给 B。 

(3) B 产生 秘密 钥 K,, 并 发 送 E(PUE.,K.,)。 

(4) 下 截获 该 消息 ,并 通过 计算 DOPRe .E(PUE.K,)) 得 出 K,。 

(5) EE 发 送 E(PUh,K,) 给 A。 

结果 是 ,A 和 B 均 已 知 K,, 但 他 们 不 知道 玉 也 已 知道 K,。A 和 B 用 K, 来 交换 消息 ; 
EE 不 再 主动 干扰 通信 信道 而 只 需 窃听 即 可 。 由 于 E 也 已 知 K,, 所 以 EE 可 解密 任何 消息 。 但 
是 A 和 B 却 毫 无 察觉 ,因此 上 述 简单 协议 只 能 用 于 仅 有 窃听 攻击 的 环境 中 。 

2. 具有 保密 性 和 真实 性 的 密 钥 分 配 

图 3-10 中 给 出 的 方法 既 可 抗 主 动 攻击 也 可 抗 被 动 攻 击 。 假 定 A 和 B 已 通过 某 种 安全 
的 方法 交换 了 公 钥 , 则 可 以 执行 下 列 操作 来 实现 密 钥 分 配 : 


© E(PUB,[NIIDAD) 
Geum ) ©® E(PUA,INIIND) Cm ) 


® E(PUp.N2) 


GD E(PUB,E[PRA.K:]) 


图 3-10 


(1) A 用 B 的 公 钥 对 含有 其 标识 IDA 和 临时 交互 号 (Ni) 的 消息 加 密 , 并 发 送 给 B。 其 
中 Ni 用 来 唯一 标识 本 次 交易 。 

(2) B 发 送 一 条 用 PUA 加 密 的 消息 ,该 消息 包含 A 的 临时 交互 号 (Ni) 和 BB 产生 的 新 临时 
交互 号 (N: ) 。 因 为 只 有 也 可 以 解密 消息 四 ,所 以 消息 四 中 的 Ni 可 使 A 确信 其 通信 伙伴 是 B。 

(3) A 用 BB 的 公 钥 对 Ns 加 密 , 并 返回 给 B. 这 样 可 使 B 确信 其 通信 伙伴 是 A。 

(4) A 选择 密 钥 K,, 并 将 M 二 E(PUs.E(PR。.K.)) 发 送 给 B。 使 用 B 的 公 钥 对 消息 加 
密 可 以 保证 只 有 B 才能 对 它 解 密 ; 使 用 A 的 私 钥 加 密 可 以 保证 只 有 A 才能 发 送 该 消息 。 

(5) B 计算 DOPUA ,DC(PRa ,M)) 得 到 密 钥 。 

这 一 系列 的 操作 在 传统 密码 体制 密 钥 交换 过 程 中 ,可 以 同时 保证 保密 性 和 真实 性 。 

3. 混合 方法 

混合 方法 也 是 利用 公 钥 密码 来 进行 密 钥 分 配 。 这 种 方法 需要 一 个 密 钥 分 配 中 心 
(KDC) ,该 KDC 与 每 个 用 户 共享 一 个 秘密 的 主 密 钥 ,通过 用 该 主 密 钥 加 密 来 实现 秘密 的 会 
话 密 钥 的 分 配 , 公 钥 方法 在 这 里 只 用 来 分 配 主 密 钥 。 使 用 这 种 三 层 结构 方法 的 依据 如 下 : 

(1) 性 能 。 许 多 应 用 .特别 是 面向 交易 的 应 用 .需要 频繁 地 交换 会 话 密 钥 。 因 为 公 钥 加 
密 和 解密 计算 量 大 ,所 以 车 用 公 钥 密码 进行 会 话 密 钥 的 交换 . 则 会 降低 整个 系统 的 性 能 。 利 
用 三 层 结构 方法 , 公 钥 密码 只 是 偶尔 用 来 在 用 户 和 KDC 间 更 新 主 密 钥 。 

(2) 向 后 兼容 性 。 只 需 花 很 小 的 代价 或 在 软件 上 做 一 些 修改 ,就 可 以 很 容易 地 将 混合 
方法 用 于 现 有 的 KDC 方法 中 。 

增加 公 钥 层 是 分 配 主 密 钥 的 一 种 安全 有 效 的 手段 。 它 对 于 一 个 KDC 对 应 许多 分 散 用 
户 的 系统 而 言 具有 其 优越 性 。 
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3.4.3 Diffie-Hellman 密 钥 交换 


Diffie 和 Hellman 于 1976 年 发 表 的 具有 开创 意义 的 论文 中 ,首次 提出 了 一 个 公 钥 算 
法 ,标志 着 公 钥 密码 学 新 时 代 的 开始 。Diffie-Hellman 提出 的 公 钥 密码 算法 即 不 用 于 加 密 ， 
也 不 用 于 签名 , 它 只 完成 一 个 功能 : 允许 两 个 实体 在 公开 环境 中 协商 一 个 共享 密 钥 ,以 便 在 
后 续 的 通信 中 用 该 密 钥 对 消息 加 密 。 由 于 该 算法 本 身 限于 密 钥 交 换 的 用 途 , 因 此 该 算法 通 
常 称 之 为 Diffie-Hellman 密 钥 交换 。Diffie-Hellman 公 钥 密码 系统 出 现在 RSA 之 前 ,是 最 
古老 的 公 钥 密码 系统 。 

Diffie-Hellman 算法 的 安全 性 建立 在 “计算 离散 对 数 是 很 困难 的 "这 一 基础 之 上 。 简 
言 之 ,可 以 如 下 定义 离散 对 数 。 首 先 我 们 定义 素数 p 的 本 原 根 。 素 数 p 的 本 原 根 是 一 个 
整数 , 且 其 寡 可 以 产生 1 一 /一 1 之 间 的 所 有 整数 ,也 就 是 说 , 若 a 是 素数 户 的 本 原 根 , 则 : 

a mod paz mod 记 ,aol modp 
各 不 相同 ,并且 是 从 1 到 p 一 1 的 所 有 整数 的 一 个 排列 。 
对 任意 整数 b 和 素数 p 的 本 原 根 a, 可 以 找到 唯一 的 指数 使 得 : 
b=ai(mod p), 0<i<(p—) 
指数 i 称 为 5 的 以 a 为 底 的 模 p 离散 对 数 , 记 为 d log,,s (5)。 
1. Diffie-Hellman 算法 
图 3-11 概述 了 Diffie-Hellman 密 钥 交 换算 法 。 


全 局 公开 量 
gq 素数 
a a 二 gq 且 a 是 g 的 本 原 根 


用 户 A 的 密 钥 产生 
选择 秘密 的 XA Xa<g 
计算 公开 的 YA Ya=a™ modg 


用 户 B 的 密 钥 产生 
选择 秘密 的 Xs Xs=gq 
计算 公开 的 Ys Ye 一 ao mod 9 


用 户 A 计算 产生 密 钥 
K=(Ys)™* mod g 


用 户 B 计 算 产 生 密 钥 
K=(YA)™ mod 


图 3-11 密 钥 交换 算法 
在 这 种 方法 中 ,有 两 个 全 局 公开 的 参数 ,一 个 素数 g 和 一 个 整数 a. 并 且 a 是 g 的 一 个 原 
根 。 假 定 用 户 A 和 B 和 希望 协商 一 个 共享 的 密 钥 以 用 于 后 续 通 信和 .那么 用 户 A 选择 一 个 随机 
整数 Xs 二 g 作为 其 私 钥 ,并 计算 公 钥 Ys 一 a*mod g。 类 似 地 ,用 户 B 也 独立 地 选择 一 个 随 
机 整数 Xs 一 g 作为 私 钥 ,并 计算 公 钥 Ys 二 a*s mod gqg。A 和 B 分 别 保持 Xa。 和 Xs 是 其 私有 
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的 ,但 YA 和 Ya 是 公开 可 访问 的 。 用 户 A 计算 开 一 (Yes)xamod g 并 将 其 作为 密 钥 ,用 户 B 
计算 K 二 (Ys )*mod g 并 将 其 作为 密 钥 。 这 两 种 计算 所 得 的 结果 是 相同 的 : 
K= (Ys)xa modg 
一 (axa mod qg)xa modg 
= (axa )xa modg 
一 a*s*A mod dg 
= (axa )xa modg 
一 (Caxa mod g)*s modg 
= (Ya)*s modg 
至 此 ,A 和 B 完成 了 密 钥 协商 的 过 程 。 由 于 XA 和 Xs 的 私有 性 ,攻击 者 可 以 利用 的 参 
数 只 有 ga、Ya 和 Ys。 这 样 ,他 就 必须 求 离散 对 数 才 能 确定 密 钥 。 例 如 ,要 对 用 户 B 的 密 钥 
进行 攻击 ,攻击 者 就 必须 先 计算 : 
Xs 一 dlogoo(CYs) 
然后 他 就 可 以 像 用 户 B 那样 计算 出 密 钥 KK。 
Diffie-Hellman 密 钥 交换 的 安全 性 建立 在 下 述 事 实 之 上 : 求 关 于 素数 的 模 寡 运算 相对 
容易 ,而 计算 离散 对 数 却 非常 困难 ; 对 于 大 素数 , 求 离 散 对 数 被 认为 是 不 可 行 的 。 
下 面 给 出 例子 。 密 钥 交 换 基 于 素数 g 王 97 和 97 的 一 个 原 根 a 二 5。A 和 B 分 别 选择 
XA 二 36 和 Xs 二 58, 并 分 别 计算 其 公 钥 : 
A 计算 Ya 二 5%* mod 97 一 50 
也 计算 Ya = 5% mod 97 一 44 
A 和 B 相互 获取 了 对 方 的 公 钥 之 后 ,双方 均 可 计算 出 公共 的 密 钥 : 
A 计算 K = (Ysgp)*4 mod 97 = 44”* mod 97 一 75 
B 计 算 K = (Yh)*s mod 97 = 50”* mod 97 一 75 
攻击 者 能 够 得 到 下 列 信息 : 
q 97; a Sp SO Ys 44 
但 是 ,从 150.44| 出 发 ,攻击 者 要 计算 出 75 很 不 容易 。 
2. Diffie-Hellman 密 钥 交 换 协 议 
图 3-12 描述 了 一 个 基于 Diffie-Hellman 算法 的 简单 的 密 钥 交换 协议 。 假定 A 希望 与 
B 建立 连接 ,并 使 用 密 钥 对 该 次 连接 中 的 消息 加 密 。 用 户 A 产生 一 次 性 私 钥 XA ,计算 YA， 
并 将 Ys 发 送 给 B, 用 户 B 也 产生 私 钥 Xs .计算 Ys ,并 将 Ys 发 送 给 A, 这 样 A 和 B 都 可 以 
用 户 A 用 户 B 
产生 随机 数 YA<9 


计算 =a mod g 产生 随机 数 Xs<g 
计算 Ys=a* modg 


计算 K=(Ya) mod q 计算 K=(YD)* modg 


3-12 ” 密 钥 交换 协议 
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计算 出 密 钥 。 当 然 , 在 通信 前 A 和 B 都 应 已 知 公 开 的 g 和 a, 如 可 由 用 户 A 选择 g 和 a, 并 
将 g 和 a 放 入 第 一 条 消息 中 。 

Diffie-Hellman 算法 具有 两 个 很 有 吸引 力 的 特征 : 

(1) 仅 当 需要 时 才 生 成 密 钥 , 减 小 了 将 密 钥 存储 很 长 一 段 时 间 而 致使 遭受 攻击 的 机 会 。 

(2) 除 对 全 局 参数 的 约定 外 , 密 钥 交换 不 需要 事先 存在 的 基础 结构 。 

然而 ,该 算法 也 存在 许多 不 足 : 

(1) 在 协商 密 钥 的 过 程 中 ,没有 对 双方 身份 的 认证 。 

(2) 它 是 计算 密集 性 的 ,因此 容易 遭受 阻塞 性 攻击 : 攻击 方 请 求 大 量 的 密 钥 ,而 受 攻击 
者 花费 了 相对 多 的 计算 资源 来 求解 无 用 的 过 系数 而 不 是 在 做 真正 的 工作 。 

(3) 没 办 法 防止 重演 攻击 。 

(4) 容易 遭受 "中 间 人 攻击 ”, 即 恶意 第 三 方 C 在 和 A 通信 时 扮演 B, 和 B 通 信 时 扮演 
A, 与 A 和 B 都 协商 了 一 个 密 钥 ,然后 C 就 可 以 监听 和 传递 通信 量 。 

假设 A 和 B 要 通过 Diffie-Hellman 算法 协商 一 个 共享 密 钥 ,同时 第 三 方 C 准备 实施 
“中 间 人 攻击 ”。 攻 击 按 如 下 方式 进行 : 

(1) C 首先 生成 两 个 随机 的 私 钥 Xc 和 Xcs ,然后 计算 相应 的 公 钥 Yo 和 Ycs。 

(2) A 在 给 B 的 消息 中 发 送 他 的 公开 密 钥 YA 。 

(3) C 截获 并 解析 该 消息 ,将 A 的 公开 密 钥 YA 保存 下 来 ,并 给 B 发 送 消息 ,该 消息 具 
有 A 的 用 户 ID 但 使 用 C 的 公开 密 钥 Yc ,并 且 伪 装 成 来 自 A。 同 时 ,C 计算 Ks 二 (Ya) Xe 
mod g。 

(4) B 收 到 C 的 报 文 后 ,将 Ye (认为 是 Ye) 和 A 的 用 户 ID 存储 在 一 块 ,并 计算 Ki 二 
(Ya)*s mod g。 

(5) 类 似 地 ,C 截获 B 发 给 A 的 公开 密 钥 Ys ,使 用 Yc 向 A 发 送 伪装 来 自 B 的 报 文 。 
C 计算 Ki 二 (Ya)*a mod g。 

(6) A 收 到 Ycs( 认 为 是 Ya) 并 计算 Ks 二 (Ycs)*% mod g。 

此 时 ,A 和 B 认 为 他 们 已 共享 了 密 钥 。 但 实际 上 .,B 和 C 共享 密 钥 Ki ,而 A 和 C 共享 
密 钥 K, 。 从 现在 开始 ,C 就 可 以 截获 A 和 B 之 间 的 加 密 消 息 并 解密 ,根据 需要 修改 后 转发 
给 目的 地 。 而 A 和 B 都 不 知道 他 们 在 和 C 共享 通信 。 

对 抗 中 间 人 攻击 的 一 种 方法 是 让 每 一 方 拥有 相对 比较 固定 的 公 钥 和 私 钥 ,并 且 以 可 靠 
的 方式 发 布 公 钥 ,而 不 是 每 次 通信 之 前 临时 选择 随机 的 数值 。 或 者 在 密 钥 协商 过 程 中 加 入 
身份 认证 机 制 。 
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完整 性 是 安全 的 基本 要 求 之 一 ,破坏 信息 的 完整 性 是 攻击 者 最 常 采用 的 手段 。 自 改 消 
息 , 包 括 修改 消息 内 容 , 修 改 消息 序号 等 ,是 对 通信 系统 进行 主动 攻击 的 常见 形式 ,被 算 改 的 
消息 是 不 完整 的 ; 信道 的 偶发 干扰 和 故障 也 破坏 了 消息 的 完整 性 。 接 收 者 应 该 能 够 检查 所 
收 到 消息 是 否 完整 。 另 外 ,攻击 者 还 可 以 将 一 条 声称 来 自 合 法 授权 用 户 的 虚假 消息 插入 网 
络 , 或 者 冒充 消息 的 合法 接收 者 发 回 假 确认 。 因 此 ,消息 接收 者 还 应 该 能 够 识别 收 到 的 消息 
是 否 确 实 来 源 于 该 消息 所 声称 的 主体 , 即 验 证 消息 来 源 的 真实 性 。 保 障 消息 完整 性 和 真实 
性 的 重要 手段 是 消息 鉴别 技术 。 

在 开放 的 网 络 通信 环境 中 ,消息 鉴别 是 保证 网 络 通 信安 全 的 一 个 重要 环节 ,对 于 防止 主 
动 攻击 、 维 护 开 放 网 络 中 信息 的 安全 具有 非常 重要 的 意义 。 


4.1 消息 鉴别 的 概念 和 模型 


在 公开 的 网 络 环境 中 ,传输 中 的 数据 可 能 遭 到 下 述 几 种 攻击 : 

(1) 泄密 。 消 息 的 内 容 被 泄露 给 没有 合法 权限 的 任何 人 或 过 程 。 

(2) 通信 业务 量 分 析 。 分 析 通 信和 双方 的 通信 模式 。 在 面向 连接 的 应 用 中 ,确定 连接 的 
频率 和 持续 时 间 ; 在 面向 连接 或 无 连接 的 环境 中 ,确定 双方 的 消息 数量 和 长 度 。 

(3) 伪造 。 攻 击 者 假冒 真实 发 送 方 的 身份 ,向 网 络 中 插入 一 条 消息 ,或 者 假冒 接收 方 发 
送 一 个 消息 确认 。 

(4) 算 改 。 分 成 以 下 三 种 情形 : 

@ 内 容 算 改 。 对 消息 内 容 的 修改 ,包括 插入 、 删 除 、 调 换 和 修改 。 

@ 序号 算 改 修改 。 在 依赖 序号 的 通信 协议 ,如 TCP, 对 通信 双方 消息 序号 进行 修改 , 包 
括 插入 .删除 和 重新 排序 。 

@ 时 间 算 改 。 对 消息 进行 延 时 和 重 放 。 在 面向 连接 的 应 用 中 ,整个 消息 序列 可 能 是 前 
面 某 合法 消息 序列 的 重 放 , 也 可 能 是 消息 序列 中 的 一 条 消息 被 延 时 或 重 放 ; 在 面向 无 连接 
的 应 用 中 ,可 能 是 一 条 消息 (如 数据 报 ) 被 延 时 或 重 放 。 

(5) 行为 抵赖 。 发 送 方 否认 发 送 过 某 消息 .或 者 接收 方 否认 接收 到 某 消息 。 

对 抗 前 两 种 攻击 的 方法 属于 消息 保密 性 范畴 ,前 面 讲 过 的 对 称 密码 学 和 公 钥 密码 学 ,都 
是 围绕 这 个 主题 展开 的 ; 对 付 第 3 种 和 第 4 种 攻击 的 方法 一 般 称 为 消息 鉴别 ; 对 付 第 5 种 
攻击 的 方法 属于 数字 签名 。 一 般 而 言 . 数 字 签 名 方法 也 能 够 抗 第 3 种 和 第 4 种 中 的 某 些 或 
全 部 攻击 。 

消息 鉴别 是 指 信 息 接收 方 对 收 到 的 消息 进行 的 验证 ,检验 的 内 容 包 括 两 个 方面 : 

(1) 真实 性 。 信 息 的 发 送 者 是 真正 的 而 不 是 冒充 的 。 

(2) 完整 性 。 消 息 在 传送 和 存储 过 程 中 未 被 自 改 过 。 
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一 个 单纯 的 消息 鉴别 系统 模型 如 图 4-1 所 示 。 


发 送 方 一 | 鉴别 编码 器 鉴别 解码 器 F-=| 接收 方 
下 | 
安全 信道 


鉴别 密 钥 源 


图 4-1 消息 鉴别 系统 的 模型 
鉴别 编码 器 和 鉴别 译 码 器 可 抽象 为 鉴别 函数 。 在 信息 发 送 方 ,使 用 鉴别 密 钥 和 鉴别 函 
数 生成 某 种 鉴别 依据 ,并 发 送 给 接收 方 。 同 时 ,鉴别 密 钥 也 通过 安全 的 通道 发 送 给 信息 接收 
方 。 接 收 方 使 用 鉴别 密 钥 和 鉴别 函数 对 鉴别 依据 进行 验证 。 


4.2 鉴别 函数 


从 功能 上 看 ,一 个 消息 鉴别 系统 可 以 分 成 两 个 层次 ,如 图 4-2 所 示 。 
底层 是 一 个 鉴别 函数 ,其 功能 是 产生 一 个 鉴别 符 , 鉴 别 符 是 
个 用 来 鉴别 消息 的 值 . 即 鉴别 的 依据 。 在 此 基础 上 ,上 层 的 鉴别 协 


高 层 : 鉴别 协议 


议 调用 该 鉴别 函数 ,实现 对 消息 真实 性 和 完整 性 的 验证 。 鉴 别 函 谋 导 黎 淹 男 政 
数 是 决定 鉴别 系统 特性 的 主要 因素 。 图 4-2 消息 鉴别 系统 的 
根据 鉴别 符 的 生成 方式 ,鉴别 函数 可 以 分 为 如 下 三 类 。 功能 分 层 结构 


(1) 基于 消息 加 密 。 以 整个 消息 的 密 文 作为 鉴别 符 。 

(2) 基于 消息 鉴别 码 (MAC)。 利 用 公开 函数 十 密 钥 产生 一 个 固定 长 度 的 值 作为 鉴别 
符 , 并 与 消息 一 同 发 送 给 接收 方 , 实 现 对 消息 的 验证 。 

(3) 基于 散 列 函 数 。 利 用 公开 函数 将 任意 长 的 消息 映射 为 定 长 的 散 列 值 ,并 以 该 散 列 
值 作为 鉴别 符 。 

下 面 简 要 地 讨论 三 种 鉴别 函数 ,并 在 4. 3 节 和 4.4 节 详 细 介 绍 散 列 函 数 和 MAC。 
4.2.1 基于 消息 加 密 的 鉴别 

消息 加 密 本 身 提供 了 一 种 鉴别 手段 。 在 对 称 密码 和 公 钥 密码 体制 中 ,基于 消息 加 密 的 
鉴别 模式 是 不 相同 的 。 

1. 对称 加 密 

基于 对 称 密码 体制 .可 以 实现 保密 性 和 鉴别 ,如 图 4-3 所 示 。 

发 送 方 A 用 A 和 了 共享 的 密 钥 K 对 发 送 到 接收 方 B 的 消息 M 加 密 。 如 果 没 有 其 他 
方 知道 该 密 钥 ,那么 可 提供 保密 性 ,因为 任何 其 他 方 均 不 能 恢复 出 消息 明文 。 

B 可 以 确信 该 消息 是 由 A 产生 的 。 因 为 A 是 除 B 外 拥有 到 的 唯一 一 方 :既然 A 能 产 


第 4 章 消息 鉴别 63 


发 送 方 A 接受 者 B 
ws 
天 天 


图 4-3 基于 对 称 密码 的 保密 和 认证 


生出 用 KK 可 解密 的 密 文 ,那么 该 消息 一 定 来 自 A。 由 于 攻击 者 不 知道 密 钥 ,也 就 不 知 如 何 
改变 密 文中 的 信息 位 才能 在 明文 中 产生 预期 的 变化 。 因 此 ,车 B 可 以 恢复 出 明文 , 则 B 可 
以 认为 M 中 的 每 一 位 都 未 被 改变 。 

因此 可 以 说 ,对 称 密码 既 可 提供 鉴别 又 可 提供 保密 性 ,但 这 不 是 绝对 的 。 考 虑 如 下 的 情 
况 : 给 定 解密 函数 D 和 密 钥 K ,接收 方 B 可 接收 任何 输入 X ,并 产生 输出 Y=DCK.,X)。 若 
X 是 用 相应 的 加 密 函 数 对 合法 消息 M 加 密生 成 的 密 文 , 则 YY 就 是 明文 消息 M ,否则 Y 可 能 
是 来 自 攻 击 者 的 一 个 毫 无 意义 的 二 进 制 比 特 串 。 这 就 带 来 一 个 问题 : 信息 接收 方 B 如 何 确 
定 Y 是 合法 的 明文 ,并 且 消 息 确 实 是 发 自 A? 

如 果 接 收 方 已 知 明文 M 具有 某 种 语言 的 语法 结构 (比如 英语 ), 则 可 以 通过 对 Y 进行 语 
法 分 析 , 从 而 确定 Y 的 合法 性 。 如 果 消 息 M 可 以 是 任何 的 位 模式 ,那么 对 接收 到 的 密 文 解 
密 , 再 对 所 得 明文 的 合法 性 进行 判别 ,是 一 件 困难 的 事情 。 因 为 M 可 以 是 任意 的 位 模式 , 那 
么 不 管 X 的 值 是 什么 ,Y= 二 DC(K ,X) 都 会 作为 真实 的 密 文 被 接受 。 

解决 这 个 问题 的 方法 之 一 是 强制 明文 具有 某 种 易于 识别 的 结构 ,并 且 不 通过 加 密 函 数 
是 不 能 复制 这 种 结构 的 。 例 如 ,可 以 在 加 密 前 对 每 个 消息 附加 一 个 错误 检测 码 , 如 图 4-4 所 
示 。A 准备 发 送 明 文 消息 M, 那 么 A 将 M 作为 鉴别 函数 下 的 输入 ,产生 检测 码 附加 在 M 
后 ,并 对 M 和 检测 码 一 起 加 密 。 在 接收 端 ,B 解密 其 收 到 的 信息 ,并 将 其 看 作 是 消息 和 附加 
的 检测 码 。B 用 相同 的 函数 下 重新 计算 检测 码 。 若 计算 得 到 的 检测 码 和 收 到 的 检测 码 相 
等 , 则 B 认 为 消息 是 真实 的 。 任 何 随机 的 二 进 制 比 特 串 不 可 能 产生 M 和 检测 码 之 间 的 上 述 
联系 。 

函数 下 和 加 密 函 数 执 行 的 顺序 很 重要 。 在 图 4-4(a) 所 示 的 过 程 中 ,首先 执行 函数 下 再 
执行 加 密 函 数 , 错 误 检测 码 被 包含 在 密 文 中 ,这 称 为 内 部 错误 控制 。 而 在 图 4-4(b) 所 示 的 
外 部 错误 控制 中 , 先 执 行 加 密 再 执行 函数 下 ,检测 码 是 明文 传送 。 对 于 内 部 错误 控制 ,由 于 
攻击 者 很 难产 生 密 文 ,使 得 解密 后 其 错误 控制 位 是 正确 的 ,因此 内 部 错误 控制 可 以 提供 鉴 
别 ; 如 果 FCS 是 外 部 码 。 那 么 攻击 者 可 以 构造 具有 正确 错误 控制 码 的 消息 ,虽然 攻击 者 不 
知道 解密 后 的 明文 是 什么 ,但 他 可 以 造成 混淆 并 破坏 通信 。 

2. 公 钥 加 密 

典型 的 公 钥 加 密 过 程 见 图 4-5。 

发 送 方 A 使 用 接收 方 B 的 公 钥 PUs 对 M 加密 ,由 于 只 有 了 B 拥有 相应 的 私 钥 PRa ,所 以 
只 有 B 能 对 消息 解密 。 这 种 方案 可 提供 保密 性 .但 不 能 提供 鉴别 。 因 为 任何 攻击 者 可 以 假 
冒 A 用 B 的 公 钥 对 消息 加 密 . 而 B 无 法 验证 消息 是 否 来 自 A. 即 这 种 方法 不 能 保证 真实 性 。 

图 4-6 所 示 的 方案 则 可 以 提供 鉴别 。A 用 其 私 钥 对 消息 加 密 , 而 B 用 A 的 公 钥 对 接收 
的 消息 解密 。 与 对 称 密码 情形 的 推理 一 样 , 这 提供 了 鉴别 功能 : 因为 只 有 A 拥有 PRA ,能 
产生 用 PUA 可 解密 的 密 文 ,所 以 该 消息 一 定 来 自 A。 同 样 , 需 要 强制 明文 具有 某 种 结构 以 
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比较 


FU FDT| | 


E(K.[M ||IFWMA))) 


(a) 内 部 错误 控制 


E(K,M) 


F(E(K. M) 
(b) 外 部 错误 控制 
图 4-4 基于 对 称 密码 、 带 有 差错 控制 的 保密 和 鉴别 
使 接收 方 能 区 分 真实 的 明文 和 随机 的 位 串 。 而 且 ,在 “明文 具有 某 种 结构 ”假设 下 .图 4-7 的 
方法 还 可 提供 数字 签名 功能 。 由 于 只 有 A 拥有 私 钥 PRA ,所 以 只 有 A 能 够 产生 密 文 , 若 也 
接收 到 密 文 消息 , 则 B 可 以 确认 该 消息 来 自 A。 注 意 ,这 种 方法 不 能 提供 保密 性 ,因为 任何 
拥有 A 的 公 钥 的 人 都 可 将 密 文 解密 。 


发 送 方 A 接受 者 B 发 送 方 A 变 受 者 B 
M Le 人 M Le 1 
PUB PRB PRA PUA 
图 4-5 基于 公 钥 体制 的 保密 性 图 4-6 基于 公 钥 体制 的 鉴别 和 数字 签名 

发 送 方 A 接受 者 B 
PRA PUBs PRB PUA 


4-7 基于 公 钥 体制 的 保密 、 鉴 别 和 数字 签名 


图 4-7 的 方法 可 以 同时 提供 保密 、 鉴 别 和 数字 签名 。 其 中 ,发 送 方 使 用 自己 的 私 钥 对 明 
文 M 加 密 , 这 提供 了 鉴别 和 数字 签名 ; 使 用 B 的 公 钥 进行 二 次 加 密 则 提供 了 保密 性 。 但 这 
种 方法 的 缺点 是 一 次 通信 中 要 执行 四 次 复杂 的 公 钥 算法 而 不 是 两 次 。 

归纳 总 结 各 种 消息 加 密 方法 在 提供 保密 性 和 鉴别 方面 的 特点 如 下 : 

(1) 对 称 加 密 。 

A 一 B: E(K,M) 

O@ 提供 保密 性 。 只 有 A 和 B 共享 。 
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@ 提供 鉴别 : 

。 只 能 发 自 A。 

。 传输 中 未 被 改变 。 

。 需要 某 种 数据 格式 /页 余 。 

@@ 不 能 提供 数字 签名 : 

。 接收 方 可 以 伪造 消息 。 

。 发 送 方 可 以 否认 消息 。 

(2) 公 钥 ( 非 对 称 ) 加 密 : 保密 性 。 
A—B: E(PUs,M) 

@ 提供 保密 性 。 只 有 B 拥有 解密 密 钥 PRs。 
@ 不 能 提供 鉴别 。 任 何 一 方 都 可 用 PUs 对 消息 加 密 并 假 称 是 A。 
(3) 公 钥 加 密 : 鉴别 和 签名 。 

A—B: E(PU,,M) 

提供 鉴别 和 签名 

。 只 有 和 A 拥有 用 于 加 密 的 密 钥 PRA 。 
。 传输 中 未 被 改变 。 

。 需要 某 种 数据 格式 / 宛 余 。 

。 任何 一 方 可 用 PUA 来 验证 签名 。 
(4) 公 钥 加 密 : 保密 性 、 鉴 别 和 签名 。 
A—>B: ECOPRA ,M) 

@ 提供 保密 性 (因为 PUs)。 

@ 提供 鉴别 和 签名 (因为 PRA) 。 


4.2.2 基于 MAC 的 鉴别 


消息 鉴别 码 (Message Authentication Code. MAC) .又 称 密码 校 验 和 (cryptographic 
checksum) ,也 是 一 种 鉴别 技术 。MAC 实现 鉴别 的 原理 是 : 用 公开 函数 和 密 钥 生 成 一 个 固 
定 大 小 的 小 数据 块 , 即 MAC ,并 将 其 附加 在 消息 之 后 传输 。 接 收 方 利用 与 发 送 方 共 享 的 密 
钥 进 行 鉴别 。 基 于 MAC 提供 消息 完整 性 保护 ,MAC 可 以 在 不 安全 的 信道 中 传输 ,因为 
MAC 的 生成 需要 密 钥 。 

基于 MAC 的 鉴别 原理 见 图 4-8。 假 定 通信 双方 ,比如 A 和 B, 共 享 密 钥 天 。 若 A 向 也 
发 送 消息 时 , 则 A 计算 MAC, 它 是 消息 和 密 钥 K 的 函数 , 即 MAC 二 C(K,M)。 其 中 ,M 表 
示 输 入 消息 ,C 表示 MAC 函数 ,K 表示 共享 的 密 钥 ,MAC 表示 消息 鉴别 码 。 


一 源 A ~ 宿 B 
M M 
比较 
a 


CKEM) 


4-8 MAC 鉴别 原理 
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消息 和 MAC 一 起 将 被 发 送 给 接收 方 B。 接 收 方 B 对 收 到 的 消息 用 相同 的 密 钥 K 进行 
相同 的 计算 得 出 新 的 MAC, 并 与 接收 到 的 MAC 进行 比较 。 如 果 假 定 只 有 收发 双方 知道 该 
密 钥 ,那么 若 接收 到 的 MAC 与 计算 得 出 的 MAC 相等 , 则 : 

(1) 接收 方 B 可 以 相信 消息 在 传送 途中 未 被 非法 算 改 。 因 为 我 们 假定 攻击 者 不 知道 密 
钥 K, 攻 击 者 可 能 修改 消息 .但 不 知道 应 如 何 改变 MAC 才能 使 其 与 修改 后 的 消息 相 一 致 。 
这 样 ,接收 方 计算 出 的 MAC 将 不 等 于 接收 到 的 MAC。 

(2) 接收 方 B 可 以 相信 消息 来 自 真正 的 发 送 方 A。 因 为 其 他 各 方 均 不 知道 密 钥 ,因此 
他 们 不 能 产生 具有 正确 MAC 的 消息 。 

(3) 如 果 消 息 中 含有 序列 号 (如 TCP 序列 号 ), 那 么 接收 方 可 以 相信 消息 顺序 是 正确 
的 ,因为 攻击 者 无 法 成 功 地 修改 序列 号 并 保持 MAC 与 消息 一 致 。 

图 4-8 所 示 的 过 程 仅仅 提供 鉴别 而 不 能 提供 保密 性 ,因为 消息 是 以 明文 形式 传送 的 。 
如 图 4-9(a) 所 示 , 若 在 MAC 算法 之 后 对 消息 加 密 则 可 以 获得 保密 性 。 在 这 种 方案 中 , 首 
先 将 消息 作为 输入 ,计算 MAC, 并 将 MAC 附加 在 明文 消息 后 ,然后 对 整个 信息 块 加 密 。 
图 4-9(b) 所 示 的 方案 中 , 则 是 在 MAC 算法 之 前 对 消息 加 密 : 先 将 消息 加 密 , 然 后 将 此 密 文 
作为 输入 ,计算 MAC, 并 将 MAC 附加 在 上 述 密 文 之 后 形成 待 发 送 的 信息 块 。 这 两 种 情形 
都 需要 两 个 独立 的 密 钥 ,并 且 收 发 双方 共享 这 两 个 密 钥 。 一 般 而 言 , 将 MAC 直接 附加 于 明 
文 之 后 要 更 好 一 些 , 所 以 通常 使 用 图 4-9(a) 中 的 方法 。 但 无 论 哪 一 种 方法 ,需要 指出 的 是 ， 
由 于 收发 双方 共享 密 钥 ,因此 MAC 不 能 提供 数字 签名 。 

MAC 函数 与 加 密 类 似 , 但 加 密 算 法 必须 是 可 逆 的 ,而 MAC 算法 不 要 求 可 北 性 ,在 数学 
上 比 加 密 算 法 被 攻击 的 弱点 要 少 。 与 加 密 相 比 ,MAC 算法 更 不 易 被 攻破 。 

图 4-8 与 图 4-9 中 所 示 的 各 种 方法 在 提供 保密 性 和 鉴别 方面 的 特点 如 下 : 

(1) 消息 鉴别 A 一 B: M 1 C(K,M)。 

提供 鉴别 ,只 有 A 和 B 共享 K。 

(2) 消息 鉴别 和 保密 性 : 与 明文 有 关 的 鉴别 A 一 B: E(K;,[M COCK,M)])。 


M DD -9 | D)}=| M | 
1 大 比较 
) | 


天 : 
CK M) 


大 2 
E(K;, [MIIC(K1, MD] 


(a) 消息 认证 和 保密 性 : 与 明文 有 关 的 认证 
E(K2.M) 


M 上 一 一 LE 四 全 | M 
C 
局 | 比较 如 
K 
CKi. [E(K», D1) | 


(b) 消息 认证 和 保密 性 : 与 密 文 有 关 的 认证 
4-9 基于 MAC 的 保密 与 鉴别 
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@ 提供 鉴别 。 只 有 A 和 了 B 共享 Ki 。 

@) 提供 保密 性 。 只 有 A 和 B 共享 K,。 

(3) 消息 鉴别 和 保密 性 : 与 密 文 有 关 的 鉴别 A 一 B: ECK。.M) 上 CCK ,ECK。,M))。 

Q@ 提供 鉴别 。 使 用 K,。 

@ 提供 保密 性 。 使 用 K; 。 

消息 加 密 可 以 提供 鉴别 , 且 它 已 被 广泛 用 于 现 有 产品 之 中 。 之 所 以 不 直接 使 用 这 种 方 
法 而 要 使 用 分 离 的 消息 鉴别 码 ,主要 是 考虑 到 以 下 几 种 情形 。 

(1) 加 /解密 算法 的 代价 比较 大 , 公 钥 算法 代价 尤其 巨大 。 有 许多 应 用 是 将 同一 消息 广 
播 给 很 多 接收 者 。 这 种 情况 下 ,因为 广播 信息 量 的 巨大 而 难以 应 用 加 密 算 法 。 一 种 经 济 可 
靠 的 方法 就 是 明文 传送 ,由 一 个 接收 者 负责 验证 消息 的 真实 性 。 该 负责 验证 的 接收 者 拥有 
密 钥 并 执行 鉴别 过 程 . 若 MAC 错误 , 则 他 发 警报 通知 其 他 各 接收 者 。 

(2) 一 些 应 用 并 不 关心 消息 的 保密 性 ,而 关心 消息 鉴别 。 例 如 网 络 管理 信息 就 只 需要 
真实 性 ,简单 网 络 管理 协议 版 本 3(SNMPv3) 就 是 如 此 . 它 将 提供 保密 性 和 提供 鉴别 分 离开 
来 。 又 比如 政府 部 门 或 权威 机 构 发 布 的 公告 ,也 不 需要 加 密 , 仅 仅 需 要 保证 公告 的 真实 性 和 
完整 性 。 

(3) 将 鉴别 函数 和 保密 函数 结构 上 的 分 离 , 可 使 层次 结构 更 加 灵活 。 例 如 ,在 应 用 层 对 
消息 进行 鉴别 ,而 在 传输 层 提 供 保密 。 


4.2.3 基于 散 列 函数 的 鉴别 


散 列 (Hash) 函 数 是 消息 鉴别 码 的 一 种 变形 。 与 消息 鉴别 码 一 样 , 散 列 函 数 的 输入 是 
可 变 大 小 的 消息 M, 输 出 是 固定 大 小 的 散 列 码 HCM) ,也 称 为 消息 摘要 ,或 散 列 值 。 与 
MAC 不 同 的 是 , 散 列 码 并 不 使 用 密 钥 , 它 仅 是 输入 消息 的 函数 。 因 为 消息 摘要 的 生成 不 
需要 密 钥 ,基于 消息 摘要 提供 消息 完整 性 保护 ,需要 安全 地 存放 和 传输 消息 摘要 ,防止 被 
算 改 。 

图 4-10 给 出 了 将 散 列 码 用 于 消息 鉴别 的 各 种 方法 ,如 下 所 述 。 

(1) 图 4-10(a) 用 对 称 密码 对 消息 及 附加 在 其 后 的 散 列 码 加 密 。 由 于 只 有 A 和 B 共享 
密 钥 ,所 以 消息 一 定 是 来 自 A 且 未 被 修改 过 。 散 列 码 提供 了 鉴别 所 需 的 结构 或 元 余 , 并 且 
由 于 该 方法 是 对 整个 消息 和 散 列 码 加 密 ,所 以 也 提供 了 保密 性 。 

(2) 图 4-10(Cb) 用 对 称 密码 仅 对 散 列 码 加 密 。E(CK,HCM)) 是 变 长 消息 M 和 密 钥 开 的 
函数 , 它 产生 定 长 的 输出 值 .车 攻击 者 不 知道 密 钥 , 则 他 无 法 得 出 这 个 值 。 

(3) 图 4-10(c) 用 公 钥 密码 和 发 送 方 的 私 钥 仅 对 散 列 码 加 密 。 这 种 方法 可 提供 鉴别 ; 
同时 ,由 于 只 有 发 送 方 可 以 产生 加 密 后 的 散 列 码 , 所 以 这 种 方法 也 提供 了 数字 签名 ,事实 上 ， 
这 就 是 数字 签名 技术 的 本 质 所 在 。 

(4) 图 4-10(d) 先 用 发 送 方 的 私 钥 对 散 列 码 加 密 ,再 用 对 称 密码 中 的 密 钥 对 消息 和 上 述 
加 密 结果 进行 加 密 。 这 种 技术 既 提 供 保密 性 又 提供 数字 签名 .比较 常用 。 

(5) 图 4-10(e) 该 方法 使 用 散 列 函数 但 不 使 用 加 密 函 数 来 进行 消息 鉴别 。 这 里 ,假定 通 
信和 双方 共享 公共 的 秘密 值 S.A 将 M 和 S 联接 后 再 计算 散 列 值 ,并 将 其 附 于 M 后。 由 于 B 
也 知道 S, 所 以 B 可 以 计算 散 列 值 ,并 验证 其 正确 性 。 由 于 秘密 值 本 身 并 不 传送 ,所 以 攻击 
者 无 法 修改 所 截获 的 消息 ,也 不 能 伪造 消息 。 
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(b) 加 密 散 列 码 : 共享 的 密 钥 
| (HI 
M 一 
PUA 比较 
(0) E(PRAH(M)) “DD, 
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(e) 计算 消息 和 私密 值 的 散 列 码 


K K 
E(K, [MIIH(MIIS)]) 


H(MIIS) 
(f) 加 密 (e) 的 结果 


图 4-10 散 列 函数 的 基本 用 途 
(6) 图 4-10(f) 如 果 对 整个 消息 和 散 列 码 加 密 , 则 图 4-10(e) 中 的 方法 可 提供 保密 性 。 


图 4-10 中 所 示 的 各 种 方法 在 提供 保密 性 和 鉴别 方面 的 特点 如 下 : 
(1) 加 密 消 息 及 散 列 码 A 一 B: E(K.[M | HCOM)])。 
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@O 提供 保密 性 。 只 有 A 和 也 共享 K。 

@ 提供 鉴别 。HCM) 受 密码 保护 。 

(2) 加 密 散 列 码 : 共享 的 密 钥 A 一 B: M ECK,HCOM) )。 
提供 鉴别 。HCM) 受 密码 保护 。 

(3) 加 密 散 列 码 : 发 送 方 私 钥 A 一 B: M | ECPRA,HCMD) ) 。 
提供 鉴别 和 数字 签名 

。 H(M) 受 密码 保护 。 

。 只 有 A 能 产生 E(PR。,H(M))。 

(4) 加 密 (3) 的 结果 : 共享 的 密 钥 A 一 B: E(K.,[M | ECPRA,HCM))])。 
@ 提供 鉴别 和 数字 签名 。 

@ 提供 保密 性 。 只 有 A 和 BB 共享 K。 

(5) 计算 消息 和 秘密 值 的 散 列 码 A 一 B: M1 HM | S)。 
提供 鉴别 。 只 有 A 和 B 共享 S。 

(6) 加 密 (5) 的 结果 A 一 B: E(K.,[M 1 HM 1 S)])。 

@ 提供 鉴别 。 只 有 人 A 和 也 共享 S。 

@ 提供 保密 性 。 只 有 A 和 B 共享 K。 


4.3 散 列 函数 


散 列 函数 是 密码 学 理论 的 重要 内 容 之 一 ,可 以 用 于 消息 鉴别 .数字 签名 等 方面 。 

散 列 函数 又 叫做 散 列 算法 ,是 一 种 将 任意 长 度 的 消息 映射 到 某 一 固定 长 度 消 息 摘要 ( 散 
列 值 , 或 哈 希 值 ) 的 函数 。 消 息 摘 要 相当 于 是 消息 的 “指纹 ”, 用 来 防止 对 消息 的 非法 算 改 。 
如 果 消 息 被 算 改 , 则 “指纹 ”就 不 正确 了 。 即 使 消息 不 具有 保密 性 ,也 可 以 通过 消息 摘要 来 验 
证 其 完整 性 。 

令 有 代表 一 个 散 列 函 数 ,M 代表 一 个 任意 长 度 的 消息 , 则 M 的 散 列 值 h 表示 为 : 

几 一 HCMD) 

且 HCMD 长 度 固定 。 假 设 h 安全 ,发送 方 将 散 列 值 h 附 于 消息 M 后 发 送 ; 接收 方 通过 

重新 计算 散 列 值 h 并 比较 有 二 是 否 成 立 , 可 以 验证 该 消息 的 完整 性 。 


4.3.1 散 列 函数 安全 性 


对 散 列 函数 最 直接 的 攻击 就 是 攻击 者 得 到 消息 M 的 散 列 值 h(M) 后 ,试图 伪造 消息 
M ,使 得 CM ) 二 h(M)。 因 此 ,密码 学 中 的 散 列 函 数 必须 满足 一 定 的 安全 特征 ,主要 包括 
三 个 方面 : 单 向 性 、 强 对 抗 磁 撞 性 和 弱 对 抗 碰撞 性 。 

单 向 性 是 指 对 任意 给 定 的 散 列 码 有 ,找到 满足 及 (zx) 二 h 的 xz 在 计算 上 是 不 可 行 的 , 即 
给 定 散 列 函 数 户 .由 消息 M 计算 散 列 值 HCM) 是 容易 的 .但 是 由 散 列 值 HCM) 计 算 M 是 不 
可 行 的 。 

强 抗 碰撞 性 是 指 散 列 函数 满足 下 列 四 个 条 件 : 

(1) 散 列 函数 的 输入 是 任意 长 度 的 消息 M 。 
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(2) 散 列 函 数 的 输出 是 固定 长 度 的 数值 。 

(3) 给 定 h 和 M, 计 算 hCMD 是 容易 的 。 

(4) 给 定 散 列 函 数 有 ,寻找 两 个 不 同 的 消息 M! 和 Mi ,使 得 (CM) 一 h(M), 在 计算 上 
是 不 可 行 的 (如 果 有 两 个 消息 Mi 和 M; ,Mi 了 Ms 但 是 hCM1) 二 hh(M;), 则 称 M 和 Ms 是 碰 
撞 的 。) 

弱 抗 碰撞 性 的 散 列 函数 满足 强 抗 碰 撞 散 列 函 数 的 前 三 个 条 件 ,但 具有 一 个 不 同 的 条 件 ， 
给 定 h 和 一 个 随机 选择 的 消息 M ,寻找 消息 M' ,使 得 (MD) 二 h(M') 在 计算 上 是 不 可 行 的 ， 
即 不 能 找到 与 给 定 消息 具有 相同 散 列 值 的 男 一 消息 。 

显然 , 强 抗 碰撞 的 散 列 函 数 比 弱 抗 碰撞 的 散 列 函 数 安全 性 要 高 。 一 个 弱 抗 碰撞 的 散 列 
函数 不 能 保证 在 计算 上 找 不 到 一 对 消息 Mi 、M; .M 和 Ms 但 是 hhCM) 二 h(Ms)。 这 说 明 也 
许 有 Mi、M; ,Mi 和 关 M。 使 得 AGOM ) 一 ACMz)。 然 而 ,对 随机 选择 的 消息 M, 要 寻找 消息 M ， 
使 得 (CM) 二 h(M ) 在 计算 上 是 不 可 行 的 。 而 且 , 弱 抗 碰撞 的 散 列 函数 的 安全 性 随 着 使 用 次 
数 的 增多 而 逐渐 降低 。 这 是 因为 , 随 着 弱 抗 碰撞 的 散 列 函数 的 使 用 次 数 增加 ,找到 一 个 消 
息 ,使 其 散 列 值 与 先前 某 个 消息 散 列 值 相 同 的 概率 越 来 越 大 。 强 抗 碰撞 的 散 列 函数 不 会 随 
着 使 用 次 数 的 增加 而 降低 安全 性 。 

散 列 函数 抗 穷 举 攻击 的 能 力 仅 仅 依赖 于 算法 表 4-1 元 素 所 需 的 代价 
所 产生 的 散 列 码 的 长 度 。 对 长 度 为 的 散 列 码 ， 


记 性 质 代价 
找到 上 述 性 质 的 元 素 所 需 的 代价 分 别 与 表 4-1 中 二 一 
的 相应 量 成 正比 。 i a 
为 了 对 抗 对 散 列 函数 的 密码 分 析 攻 击 , 人 们 2 > 
抗 强 碰撞 性 2 


提出 了 安全 散 列 函数 的 一 般 结构 : 迭代 散 列 函 
数 ,如 图 4-11 所 示 。 


ro 
b 


nl 

b 
IV=_n 四 n 办 2 n 号 CVL 
CVo CV CV 


图 4-11 安全 散 列 函数 的 迭代 结构 


图 中 : IV 为 初始 值 ,CV 为 链接 变量 , 为 第 i 个 输入 分 组 ,f 为 压缩 算法 ,L 为 输入 分 
组 数 ,n 为 Hash 码 的 长 度 .b 为 输入 分 组 的 长 度 。 
散 列 函数 中 重复 使 用 了 压缩 函数 f, 它 的 输入 是 前 一 步 中 得 出 的 位 结果 ( 称 为 链接 变 
量 ) 和 一 个 5 位 分 组 ,输出 为 一 个 位 分 组 。 链接 变 量 的 初 值 由 算法 在 开始 时 指定 ,其 终 值 
即 为 散 列 值 , 通 常 5 二 n, 因 此 成 为 压缩 。 散 列 函 教 可 归纳 如 下 : 
CVo 二 IV 二 初始 n 位 值 
CVs=f 了 CW 
HOM =CVL 

其 中 散 列 函数 的 输入 为 消息 M. 它 由 分 组 Y。 ,Yi .Ys,… .Yr-1 组 成 。 

如 果 压 缩 函 数 具 有 抗 碰撞 能 力 ,那么 迭代 散 列 函数 也 具有 抗 磁 撞 能 力 , 因 此 , 散 列 函数 
常 使 用 上 述 先 代 结 构 , 这 种 结构 可 用 于 对 任意 长 度 的 消息 产生 安全 散 列 函数 。 由 此 可 见 , 设 


第 4 章 消息 鉴别 2 


计 安 全 散 列 函数 可 归纳 为 设计 具有 抗 碰 撞 能 力 的 压缩 函数 问题 ,并 且 该 压缩 函数 的 输入 是 
定 长 的 。 


4.3.2 SHA-1 


目前 人 们 已 经 设计 出 了 大 量 的 散 列 算法 。 其 中 ,SHA(Secure Hash Algorithm, 安 全 散 
列 算法 ) 和 MD5 是 最 著名 的 两 个 。 

SHA 是 美国 国家 安全 局 (NSA) 设 计 , 美 国 国家 标准 与 技术 研究 所 CNIST) 发 布 的 一 系 
列 密码 散 列 函数 。1993 年 发 布 了 SHA, 后 来 人 们 给 它 取 了 一 个 非 正式 的 名 称 SHA-0, 以 避 
免 与 它 的 后 继 者 混淆 。1995 年 发 布 了 SHA-1 ,该 算法 产生 160 比特 的 散 列 值 。 另 外 还 有 三 
种 变 体 : SHA-256 .SHA-384 和 SHA-512, 其 散 列 值 长 度 分 别 为 224、256、384、512 比特 。 

SHA-1 算法 的 输出 是 160 比特 的 消息 摘要 ,输入 消息 以 512 比特 分 组 为 单位 进行 处 
理 。 处 理 消息 和 输出 摘要 的 过 程 包含 下 列 步 又 。 

1. 附加 填充 位 


填充 消息 使 其 长 度 模 512 与 448 同 余 , 即 长 度 在 对 512 取 模 以 后 的 余数 是 448。 即 使 
消息 已 经 满足 上 述 长 度 要 求 ,仍然 需要 进行 填充 。 填 充 是 这 样 进行 的 : 先 补 一 个 1, 然 后 再 补 
0, 直 到 长 度 满足 对 512 取 模 后 余数 是 448。 因 此 ,填充 是 至 少 填充 一 位 ,最 多 填充 512 位 。 

2. 附加 长 度 

将 原始 数据 的 长 度 补 到 已 经 进行 了 填充 操作 的 消息 后 面 。 通 常用 一 个 64 位 的 数据 来 
表示 原始 消息 的 长 度 。 

前 两 步 的 结果 是 产生 了 一 个 长 度 为 512 整数 倍 的 扩展 消息 。 然 后 ,扩展 的 消息 被 分 成 
长 度 为 512 比特 的 消息 块 Mi ,M;,… .Ma ,因此 扩展 消息 的 长 度 为 NX512 比特 。 

3. 初始 化 散 列 缓冲 区 

SHA-1 算法 的 计算 过 程 中 需要 两 个 缓冲 区 ,每 个 都 由 5 个 32 位 的 字 组 成 。 第 一 个 5 
个 字 的 缓冲 区 被 标识 为 A,B,C,D,E, 第 二 个 5 个 字 的 缓冲 区 被 标识 为 Ho, Hi,H;,H;， 
敢 , ,并 将 第 一 个 5 个 字 的 缓冲 始 化 为 下 列 32 比特 的 整数 (十 六 进 制 值 ): 

A = 0x67452301 
B = 0xEFCDAB89 
C= 0x98BADCFE 
D = 0x10325476 
E = 0xC3D2E1F0 

还 需要 一 个 80 个 32 位 字 的 缓冲 区 ,标识 为 Wo 一 Wr, 以 及 一 个 字 的 TEMP 缓冲 

4. 计算 消息 摘要 

在 附加 长 度 中 得 到 长 度 512 的 消息 块 Mi ,Ms .… .Ms 会 依次 进行 处 理 , 处 理 每 个 消息 
块 Mi 都 要 运行 一 个 具有 80 轮 运算 的 函数 .每 一 轮 都 把 160 比特 缓冲 区 的 值 ABCDE 作为 
输入 ,并 更 新 缓冲 区 的 值 。 

每 一 轮 运算 将 使 用 附加 的 常数 K, ,其 中 0 三 :二 79(z 代表 运算 的 轮 数 ) ,这 些 常数 如 下 : 


Xl 
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K,=0x5A827999(0<1<19) 
K,=0x6¥EDIEBA1(20<1<39) 
K,=0x8F1BBCDC(40<1<59) 
K,=0xCA62C1D6(60<1<79) 
每 一 轮 还 将 使 用 一 个 非 线性 函数 f,: 
FAX YZ = NYY YINAZN VEE 
FAX,Z = XBDYDBZ St 
RR ZI = NAATV NEA AD 过 雪 2 
fi(X,Y,Z) = XBDYBZ, 60<t<79 
其 中 ， 人 表示 逐 位 “与 ”,V 表示 逐 位 “或 ”, 外 表示 逐 位 “ 异 或 ”,X 则 表示 X 的 逐 位 取 反 。 
对 一 个 消息 块 M; ,首先 用 下 面 的 算法 将 消息 块 (16 个 32 比特 , 共 512 比特 ) 变 成 80 个 
32 比特 子 块 (Wo 一 Ws): 
W;=M, 0<j<15 
Wj; = (Wjs DWis DWu BWw) <1, 16<j<79 
其 中 ,之 表示 循环 左 移 位 。 
将 第 一 个 5 个 字 的 缓冲 区 内 容 复 制 到 第 二 个 5 个 字 的 缓冲 区 : 
Ho=A; Hi= B, Hs=C,; Hs=D,; H,=E 
对 每 一 个 Wj; (1 二 j 二 79): 
TEMP = (A <5)+/f;(B,C,D)+E+W,+kK;, 


E=D 
D= 
C=B<30 
B=A 
A = temp 
其 中 ,十 表示 模 22 的 加 法 运算 。 
最 后 ,执行 : 
A=HotAr ‘B=H+B, C=HtC, 轴 三 局 十 局 E=+E 
5. 输出 


所 有 的 N 个 512 比特 分 组 都 处 理 完 以 后 ,从 第 N 阶段 输出 的 是 ABCDE ,长 度 160 比 
特 的 消息 摘要 。 


4.3.3 MDSs 


MD5 即 Message-Digest Algorithm 5( 消 息 摘要 算法 5) ,是 广泛 使 用 的 散 列 算法 (又 称 
为 哈 希 算法 ) 之 一 。MD5 的 设计 者 是 麻 省 理工 学 院 的 Ronald L.Rivest, 经 MD2、MD3 和 
MD4 发 展 而 来 。MD4 算法 发 布 于 1990 年 ,该 算法 没有 基于 任何 假设 和 密码 体制 ,运行 速 
度 快 ,实用 性 强 , 受 到 了 广泛 的 关注 。 但 后 来 人 们 发 现 MD4 存在 安全 缺陷 .于 是 Ronald L. 
Rivest 于 1991 年 对 MD4 做 了 几 点 改进 ,改进 的 算法 就 是 MD5。 虽 然 MD5 比 MD4 稍微 慢 
一 些 , 但 却 更 为 安全 。 


第 4 章 消息 鉴别 7 


MD5 输入 任意 长 度 的 消息 ,生成 128 位 的 散 列 值 。 输 入 消息 被 以 512 位 长 度 来 分 组 ， 
且 每 一 分 组 又 被 划分 为 16 个 32 位 子 分 组 ,经 过 了 一 系列 的 处 理 后 ,算法 的 输出 由 四 个 32 
位 分 组 组 成 ,将 这 四 个 32 位 分 组 级 联 后 生成 一 个 128 位 散 列 值 。 
MD5 计算 消息 摘要 时 ,执行 下 述 步骤 。 
1. 消息 填充 
在 MD5 算法 中 ,首先 需要 对 消息 进行 填充 ,使 其 长 度 ( 以 二 进 制 位 为 单位 ) 对 512 求 余 
的 结果 等 于 448。 因 此 ,信息 的 位 长 (bits length) 将 被 扩展 至 NX512 十 448, 即 NX64 十 56 
个 字 节 (B) ,NN 为 一 个 正 整 数 。 填 充 的 方法 如 下 ,在 信息 的 后 面 填充 一 个 1 和 多 个 0, 直 到 满 
足 长 度 对 512 求 余 的 结果 等 于 448 才 停止 填充 。 
2. 添加 长 度 
消息 填充 的 结果 后 面 附加 一 个 以 64 位 二 进 制 表示 的 填充 前 信息 长 度 。 经 过 这 两 步 的 
处 理 , 现 在 的 信息 的 位 长 二 NXx512 十 448 十 64 一 (CN 十 1) X512, 即 长 度 恰好 是 512 的 整数 
倍 。 换 名 话说 ,消息 长 度 现在 是 16 个 32 位 字 的 整数 倍 。 这 样 做 的 原因 是 为 满足 后 面 处 理 
中 对 信息 长 度 的 要 求 。 
3. 初始 化 缓冲 区 
MD5 中 用 一 个 四 字 缓 冲 区 表示 四 个 32 位 寄存 器 ,也 被 称 作 链接 变量 (Chaining 
Variable) 。 这 个 128 为 缓冲 区 用 于 计算 消息 摘要 。 这 四 个 寄存 器 被 初始 化 为 : 
4 一 0x01234567 
0 一 0x89abcdef 
< 一 0xfedcba98 
cd 一 0x76543210 
将 上 面 四 个 链接 变量 复制 到 另外 四 个 变量 中 : a 到 AA.b 到 BB,c 到 CC,d 到 DD。 
当 设 置 好 这 四 个 链接 变量 后 .就 开始 进入 算法 的 主 循环 ,循环 的 次 数 是 信息 中 512 位 信 
息 分 组 的 数目 。 
4. 定义 辅助 函数 
MD5 算法 要 用 到 四 个 辅助 函数 。 这 四 个 非 线 性 函数 (每 轮 一 个 ) 都 以 三 个 32 位 字 为 输 
入 ,生成 一 个 32 位 字 输 出 。 它 们 被 表示 为 : 
F(X,Y,Z)= (X AY)V (XA Z2) 
G(X 2 = (AZ VY KZ 
H(X,Y,Z) = X@Y@OZ 
I(X,Y,Z)=Y@(XV 2) 
其 中 ,人 表示 逐 位 “与 ”,V 表示 逐 位 "或 ”, 四 表示 逐 位 * 异 或 ".X 则 表示 X 的 逐 位 取 反 。 
此 外 ,MD5 还 使 用 了 四 种 操作 。 假 设 Mi 表示 消息 的 第 j 个 子 分 组 (从 0 到 15), 则 四 
种 操作 分 别 为 : 
FF(a,b,c,d,M;,s,ti) 表 示 a 二 6b 十 ((a 十 F(b,c,d) 十 Mj 十 1t;) 作 s) 
GG(a,bscsd ,Mj,s,ti) 表 示 a 二 6b 十 ((a 十 G(b,c,d) 十 M; 十 1;) 攻 s) 
HH(a,6,c,d,Mj,s,ti) 表 示 a 二 6 十 ((a 十 H(b,c,d) 十 Mj 十 1;) 攻 s) 
I(asbscsd,Mj ,ssti) 表 示 wa 一 2 十 ((e 十 ICbyc,d) 十 Mi 十 总)<s) 
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其 中 ,<s 表示 循环 左 移 : 位 ,十 表示 整数 模 2*” 加 法 运算 。 
5. 四 轮 计算 
主 循环 有 四 轮 (MD4 只 有 三 轮 ) ,每 轮 循环 都 很 相似 。 每 一 轮 进行 16 次 操作 。 每 次 操 
作对 a、b、c 和 a 中 的 三 个 作 一 次 非 线 性 函数 运算 ,然后 将 所 得 结果 加 上 第 四 个 变量 ,一 个 子 
分 组 和 一 个 常数 ,再 将 所 得 结果 循环 左 移 , 并 加 上 a、b、c 或 4 中 之 一 。 最 后 用 该 结果 取代 
ac 或 & 中 之 一 。 
(1) 第 一 轮 : 
FF(a,b,c,d,M,,7.0xd76aa478) 
FF(d,a,b,c, Mi,12,0xe8c7b756) 
FF(c,d,a,b,M,,17,0x242070db) 
FF(b,c,d,a,M;s,22,0xclbdceee) 
FF(a,b,c,d,M, ,7,0x{57cOfaf) 
FF(d,a,b,c,Ms ,12,0x4787c62a) 
FF(c,d,a,b,Ms ,17,0xa8304613) 
FF(b,c,d,a,M;: ,22,0xfd469501) 
FF(a,b,c,d,Ms.7,0x698098d8) 
FF(d,a,b,c,M, ,12,0x8b44f{7af) 
FF(c,d,a,b,Mio ,17,0xffff5bb1) 
FF(b,c,d,a,M1 ,22.,0x895cd7be) 
FF(a,b,c,d,Mi;,7,0x6b901122) 
FF(d,a,b,c,M'is,12,0x{d987193) 
FF(c,d,a,b,Mi,17,0xa679438e) 
FF(b,c,d,a,M'is ,22,0x49b40821) 
(2) 第 二 轮 : 
GG(Capocd, Mi ,5,.0xf6le2562) 
GG(d,a.b,c,Ms ,9,0xc040b340) 
GG(c,d,a,b, M1,14,0x265e5a51) 
GG(b,c,d,a,Mo ,20.0xe9b6c7aa) 
GG(a,b,cd,Ms,5,0xd62f105d) 
GG(d,a,b,c, Mio ,9,0x02441453) 
GG(cd,a.b,Mis.14,0xd8ale681) 
GG(b,c,d,a,M,.20.,0xe7d3fbc8) 
GG(a,b,c.d,M, ,5,0x2lelcde6) 
GG(d,a,b,c, Mis ,9,0xc33707d6) 
GG(c,d,a.b.M;.14,.0x{4d50d87) 
GG(b,c.d,a,Ms,20.0x455al4ed) 
GG(a,b,c,d,Mis,5,0xa9e3e905) 
GG(d,a,b,.c,M,.9,.0xfcefa3f8) 
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GG(c,d,a,b,M: ,14.0x676{02d9) 
GG(b,c,d,a,M'is ,20,0x8d2a4c8a) 
(3) 第 三 轮 : 
HHCe,o,c,d, Ms ,4,0xfffa3942) 
HH(d,a,b,c,Ms,11.0x8771{681) 
HH(c,d,a,b,M ,16,0x6d9d6122) 
HH(b,c,d,a,Mi ,23,0xfde5380c) 
HH(a.b,c,d,M.4.0xa4dbeea44) 
HH(d,a,b,c,M, ,11,0x4bdecfa9) 
HH(c,d,a,b,M; ,16.0x{6bb4b60) 
HH(b ,c,d,a,Mio ,23,0xbebfbc70) 
HH(a.b,c,.d.,NMis .4.0x289b7ec6) 
HH(d,a,b,c,Mo ,11,0xeaal27fa) 
HHCc,d,e,o,Ms ,16,0xd4ef3085) 
HHC,c,Cd,a, Me ,23,0x04881d05) 
HH(a,b,c,d,M, ,4,0xd9d4d039) 
HH(d,a.b,c,Mi,,11,0xe6db99e5) 
HH(c,d,a,b,Mis .16,0xlfa27cf8) 
HH(b,c,d,a,M,,23,0xc4ac5665) 
(4) 第 四 轮 : 
I(a,b,c,d,Mo ,6,0x{4292244) 
IIC&,a,oc,M; ,10,0x432aff97) 
IICc,cd ,ao,Mi ,15,0xab9423a7) 
IICO,c,d,a,Ms ,21,0xfc93a039) 
IICo,O,c,cd,Miy,6.0x655b59c3) 
IIC&,a ,pc,Mas ,10.0x8fOccc92) 
II(c,d,a,b, Mo ,15,0xffeff47d) 
IICO,c,d ae, Mi .21,0x85845ddl) 
IICe ,poc,c.Ms .6.0x6fa87e4f) 
ll(d,a,b,c,Mis ,10,0xfe2ce6e0) 
IICc,d,a,p,Me ,15,0xa3014314) 
I(b,csdsa,Mis,21,0x4e0811al) 
I(a,b,c,d,M, ,6,0xf7537e82) 
I(d,a,b,c, Mi ,10,0xbd3af235) 
IT(c,d.a.b,M,.15.0x2ad7d2bb) 
TI(b,c,d,a,M, .21.,0xeb86d391) 
常数 1; 可 以 如 下 选择 : 
在 第 i 步 中 ,ti 是 4294967296Xabs(sin( 让 ) 的 整数 部 分 .i 的 单位 是 弧度 (4294967296 
等 于 2 的 32 次 方 )x 
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所 有 这 些 完成 之 后 ,将 a.b.cvd 分 别 加 上 AA、BB、CC、DD。 然 后 用 下 一 分 组 数据 继续 
运行 算法 ,最 后 的 输出 是 A、B、C 和 的 级 联 。 


4.4 消息 鉴别 码 


MAC 也 称 密码 校 验 和 , 它 由 如 下 形式 的 函数 C 产生 : 
MAC=C(K,M) 
其 中 : M 是 一 个 任意 长 度 的 消息 ,K 是 收发 双方 共享 的 密 钥 ,CCK,M) 是 固定 长 度 的 鉴别 
符 。 发 送 方 将 MAC 附 于 发 送 方 的 消息 之 后 ; 接收 方 可 通过 重新 计算 MAC 并 与 发 送 方 的 
MAC 比 对 来 鉴别 该 消息 。 


4.4.1 MAC 安全 性 


应 用 对 称 密码 或 非 对 称 密码 对 消息 加 密 , 其 安全 性 一 般 要 依赖 于 密 钥 的 位 长 。 攻 击 者 
可 以 对 所 有 可 能 的 密 钥 进 行 穷 举 攻击 。 一 般 对 位 的 密 钥 , 穷 举 攻击 平均 需要 2/2 步 。 

对 MAC 情况 则 完全 不 一 样 。 一 般 而 言 ,MAC 函数 是 多 对 一 函数 。 若 使 用 n 位 长 的 
MAC, 则 有 2” 个 可 能 的 MAC ,而 可 能 的 消息 数目 N 则 远大 于 这 个 数字 , 即 N 福 2"。 若 密 钥 
长 为 &, 则 有 2* 种 可 能 的 密 钥 。 假 设 攻击 者 使 用 穷 举 方法 分 析 密 钥 ,并且 消 息 没 有 加 密 ( 攻 
击 者 可 访问 明文 形式 的 消息 及 其 MAC)。 假定 二 n, 即 假定 密 钥 位 数 比 MAC 长 ,那么 ,对 
明文 消息 M 和 对 应 的 MAC: ,密码 分 析 者 要 对 所 有 可 能 的 密 钥 值 K; 计算 CCK, ,Mi ) ,并 查 
看 是 否 等 于 MAC,。 至 少 会 有 一 个 密 钥 会 使 得 MAC; 一 MAC,。 注 意 , 这 里 总 共 会 产生 2* 
个 MAC, 但 只 有 2" 二 2* 个 不 同 的 MAC 值 ,所 以 许多 密 钥 都 会 产生 正确 的 MAC, 而 攻击 者 
却 不 知 哪 一 个 是 正确 的 密 钥 。 平 均 来 说 ,有 2*/2"= 二 2*-" 个 密 钥 会 产生 正确 的 MAC, 因 此 
攻击 者 必须 重复 下 述 攻击 : 

1. 循环 1 

给 定 Mi 及 MAC 二 C(K ,Mi ) ,对 所 有 2 个 密 钥 计算 : 

MAC;=C(K;. MI) 

匹配 数 守 2%-” 

2. 循环 2 

给 定 Ms 及 MAC, 一 C(K ,Ms ) ,对 余下 的 2 个 密 钥 计算 : 

MAG.=CO0K ,MY 
匹配 数 守 2%2x7 

依 此 类 推 , 平 均 来 讲 , 车 k= 二 a X n, 则 需 a 次 循环 。 

如 果 密 钥 的 长 度 小 于 或 等 于 MAC 的 长 度 , 则 很 可 能 第 一 次 循环 中 就 得 到 一 个 密 钥 , 当 
然 也 可 能 得 到 多 个 密 钥 ,这 时 攻击 者 还 需 对 新 的 消息 (MAC) 对 执行 上 述 测试 。 

由 此 可 见 , 用 穷 举 方法 来 确定 鉴别 密 钥 不 是 一 件 容易 的 事 .而 且 确 定 鉴别 密 钥 比 确定 同 
样 长 度 的 加 密 密 钥 更 困难 。 
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攻击 者 也 可 以 攻击 MAC 而 不 试图 去 找 出 密 钥 , 即 在 不 知道 密 钥 的 情况 下 ,生成 一 个 合 
法 的 MAC。 考 虑 下 面 的 MAC 算法 。 令 消息 M 一 (Xi |‖ Xs |‖… | Xw。)? 是 由 64 位 分 组 X; 
连接 而 成 。 定 义 : 


ACOM) 一 Xi 中 X 中 … 中 X，。 
CC(K,M)=E(K,A(M)) 
其 中 名 是 异 或 (XOR) 运 算 ,加 密 算法 是 电子 密码 本 方式 DES, 那 么 密 钥 长 为 56 位 ,MAC 长 
为 64 位 。 若 攻击 者 知道 1VUM 1 C(K ,MD)}. 则 确定 K 的 穷 举 攻击 需 执 行 至 少 2” 次 加 密 , 但 是 
攻击 者 可 以 用 任何 期 望 的 Yi 至 Y。-: 蔡 代 Xi 至 X,-1, 用 YY。 替代 XX 来 进行 攻击 ,其 中 YY， 
是 按 如 下 方式 计算 的 : 
Y,=YDY,®-…DY,_1: BAM) 

攻击 者 可 以 将 Y, 至 YY 与 原来 的 MAC 连接 成 一 个 新 的 消息 ,而 接收 方 却 会 认为 该 消 
息 是 真实 的 。 用 这 种 办 法 ,攻击 者 可 以 随意 插入 任意 长 为 64X(m 一 了) 位 的 消息 。 

一 般 来 说 ,MAC 函数 应 具有 下 列 性 质 : 

(1) 车 攻击 者 已 知 M 和 CC(K .MD), 则 他 构造 消息 M 满足 C= 二 (K,M ) 二 CC(K,M) ,在 计 
算 上 是 不 可 行 的 。 

(2) C(K ,MD) 应 是 均匀 分 布 的 , 即 对 任何 随机 选择 的 消息 M 和 M',C(K,M)= 二 C(K， 
M) 的 概率 是 2 ,其 中 是 MAC 的 位 数 。 

(3) 设 M' 是 M 的 某 个 已 知 的 变换 , 即 M’ = 二 fCMD) ,如 了 可 表示 道 转 M 的 一 位 或 多 位 ， 
那么 Pr[C(K,M)=C(K,M’)]=2-"。 

前 面 已 讲 过 ,攻击 者 即使 不 知道 密 钥 ,也 可 以 构造 出 与 给 定 的 MAC 匹配 的 新 消息 ,第 
一 个 要 求 就 是 针对 这 种 情况 提出 的 。 第 二 个 要 求 是 为 了 阻止 基于 选择 明文 的 穷 举 攻击 ,也 
就 是 说 ,假定 攻击 者 不 知道 K ,但 是 他 可 以 访问 MAC 函数 ,能 对 消息 产生 MAC ,那么 攻击 
者 可 以 对 各 种 消息 计算 MAC ,直至 找到 与 给 定 MAC 相同 的 消息 为 止 。 如 果 MAC 函数 具 
有 均匀 分 布 的 特征 ,那么 穷 举 方法 平均 需要 2" -2 步 才 能 找到 具有 给 定 MAC 的 消息 。 

最 后 一 条 要 求 ,鉴别 算法 对 消息 的 某 部 分 或 位 不 应 比 其 他 部 分 或 位 更 弱 ; 否则 ,已 知 M 
和 CCK,M) 的 攻击 者 可 以 对 M 的 已 知 * 弱 点 ”处 进行 修改 ,然后 再 计算 MAC, 这 样 有 可 能 更 
早 得 出 具有 给 定 MAC 的 新 消息 。 


4.4.2 基于 DES 的 消息 鉴别 码 


构造 MAC 的 常用 方法 之 一 就 是 基于 分 组 密码 ,并 按 CBC 模式 操作 。 在 CBC 模式 中 ， 
每 个 明文 分 组 M; 在 用 密 钥 加 密 之 前 .要 先 与 前 一 个 密 文 分 组 进行 异 或 运算 。 用 一 个 初始 
向 量 IV 作为 密 文 分 组 初始 值 。 

数据 鉴别 算法 ,也 称 为 CBC-MAC( 密 文 分 组 链接 消息 鉴别 码 ) ,建立 在 DES 之 上 ,是 使 
用 最 广泛 的 MAC 算法 之 一 ,也 是 ANSI 的 一 个 标准 。 

数据 鉴别 算法 采用 DES 运算 的 密 文 块 链接 (CBC) 方 式 , 参 见 图 4-11, 其 初始 向 量 IV 为 
0 ,需要 鉴别 的 数据 分 成 连续 的 64 位 的 分 组 Di .D;,… .Dw ,车 最 后 分 组 不 足 64 位 , 则 在 其 
后 填 0 直至 成 为 64 位 的 分 组 。 利 用 DES 加 密 算 法 E 和 密 钥 KK .计算 数据 鉴别 码 (DAC) 的 
过 程 如 图 4-12 所 示 。 
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次 数 =1 次 数 =2 次 数 =N-1 次 数 =N 
(i 名 Dr Dw 
天 es {DES DES ER 
(56 位 ) 一 加密 和 一 | 加密 人 加密 和 一 | 加密 
1 | | 1 1 
(qt 二 本 Ow 盖 Ow 
DAC 
(16 一 64 位 ) 


4-12 ”数据 鉴别 算法 
O=E(K,D.,) 
0 一 ECK,[LD: 中 O,]) 
O: 王 E(K,[D: 中 O:]) 


Ox=E(K ,LDy@BON-1]) 
其 中 ,DAC 可 以 取 整 个 块 Ow ,也 可 以 取 其 最 左边 的 M 位 ,其 中 16 过 M64。 


4.4.3 CMAC 


数据 鉴别 算法 在 政府 和 工业 界 广泛 采用 。 但 数据 鉴别 算法 仅 能 处 理 固 定 长 度 为 mxn 
的 消息 ,其 中 是 密 文 分 组 的 长 度 ,m 是 一 个 固定 的 正 整 数 。 
研究 人 员 提 出 了 对 数据 鉴别 算法 的 优化 方法 : 使 用 三 个 密 钥 .一 个 密 钥 长 度 为 &, 用 在 
密 文 分 组 链接 的 每 一 步 ; 两 个 长 度 为 n 的 密 钥 ,n 为 密 文 分 组 长 度 ; 两 个 比特 的 密 钥 可 以 
从 加 密 密 钥 导出 。 这 种 优化 已 经 被 采用 作为 基于 密 文 消息 认证 码 (CMAC) 的 运算 模式 ,对 
于 AES,3DES 适 用。 
假设 分 组 长 度 为 5b. 而 消息 长 度 是 5 的 n(n 为 正 整 数 ) 信 。 对 AES,b 二 128, 对 3DES， 
5b 二 64。 这 个 消息 被 划分 为 nn 组 ,Mi ,Ms,…,M,。 算 法 使 用 了 kk 比特 的 加 密 密 钥 K 和 nn 比 
特 的 常数 K,。 对 于 AES, 密 钥 长 度 有 为 128、192 和 256 比特 ,对 于 3DES, 密 钥 长 度 为 112 
或 168 比特 。CMAC 以 图 4-13 所 示 的 方式 计算 : 
Gi=E(KMY 
Cs=E(K,[M: BC]) 
Cs=E(K.,[M; BC]) 


C=E(K.,L[Mn®OC,_ :DK1]) 
T 一 MSBre (C,) 
其 中 : T 为 消息 鉴别 码 .Tlen 为 工 的 比特 长 度 ,MSB,(X) 为 比特 串 最 左边 的 ;位 。 
如 果 消 息 不 是 密 文 分 组 长 度 的 整数 倍 , 则 最 后 分 组 的 右边 ( 低 有 效 位 ) 填 充 一 个 1 和 若 
干 个 0, 使 得 最 后 的 分 组 长 度 为 5。 除 了 使 用 一 个 不 同 的 比特 密 钥 ,代替 Ki 外 ,与 前 面 
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b 
——® 
P| 和 = 1 人 
KEK] E 1 ， 囊 1 天 -一 | E 
1 


MSB(TIen)| 王 了 


Mi AD 2 M,, |10:…0 
Ey, es 
1 人 | 人 
天 -一 一 | E 天 全 | E 1 天 -一 | E 
pe T 


MSB(Tlen) | 一 人 


(b) 消息 长 度 不 是 块 大 小 的 整数 倍 
图 4-13 CMAC 
所 述 一 样 进行 CMAC 运算 。 
两 个 比特 的 密 钥 由 k& 比特 的 加 密 密 钥 按 如 下 方式 导出 
L=E(K ,0") 
Ki=L*zx 
Ks= LL .x:=(L*x)*r 
其 中 乘法 (。 ) 在 域 GF(2") 内 进行 ,x 和 xz? 是 域 GF(2") 的 一 次 和 二 次 多 项 式 。 因 此 x 的 二 
元 表示 为 n 一 2 个 0, 后跟 10. 而 z 的 二 元 表示 是 2 一 3 个 0, 后 跟 100。 有 限 域 由 不 可 约 多 
项 式 定义 ,该 多 项 式 是 那些 具有 极 小 非 零 项 的 多 项 式 集合 里 按 字典 序 排 第 一 的 那个 多 项 式 。 
对 于 已 获 批准 的 分 组 长 度 , 多 项 式 是 zx%* 十 x 十 x? 十 xz 十 1 以 及 zx! 十 zx? 十 zx? 十 ZzZ 十 1。 
为 了 生成 K! 和 K; ,分 组 密码 应 用 到 一 个 全 0 分 组 上 。 第 一 个 子 密 钥 从 所 得 密 文 导 
出 , 即 先 左 移 一 位 。 并 且 根 据 条 件 和 一 个 常数 进行 异 或 运算 得 到 ,其 中 常数 依赖 于 分 组 的 大 
小 。 第 二 个 子 密 钥 是 采用 相同 的 方式 从 第 一 个 子 密 钥 导出 。 


4.4.4 HMAC 


近年 来 .人们 越 来 越 感 兴趣 于 利用 散 列 函数 来 设计 MAC。 这 是 因为 利用 对 称 加 密 算 
法 产生 MAC 要 对 全 部 消息 进行 加 密 ,运算 速度 较 慢 ,而 散 列 函数 执行 速度 比 对 称 分 组 密码 
要 快 。 

散 列 函 数 并 不 是 专 为 MAC 而 设计 的 ,不 依赖 于 密 钥 ,所 以 它 不 能 直接 用 于 MAC。 目 
前 ,已 经 提出 了 许多 方案 将 密 钥 加 到 现 有 的 散 列 函数 中 。HMAC 是 最 受 支 持 的 方案 , 它 是 
一 种 依赖 于 密 钥 的 单 向 散 列 函数 .同时 提供 对 数据 的 完整 性 和 真实 性 的 验证 。HMAC 是 
IP 安全 里 必须 实现 的 MAC 方案 :并 且 其 他 Internet 协议 中 (如 SSL) 也 使 用 了 HMAC。 

RFC 2104 给 出 了 HMAC 的 设计 目标 : 

(1) 不 必修 改 而 直接 使 用 现 有 的 散 列 函数 。 即 将 散 列 函数 看 作 是 “ 黑 盒 ”. 可 以 使 用 多 
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种 散 列 函数 。 
(2) 如 果 找 到 或 需要 更 快 或 更 安全 的 散 列 函数 ,应 能 很 容易 地 替代 原来 嵌入 的 散 列 
函数 。 
(3) 应 保持 散 列 函数 的 原 有 性 能 ,不 能 过 分 降低 其 性 能 。 
(4) 对 密 钥 的 使 用 和 处 理应 较 简单 。 
(5) 如 果 已 知 谋 入 的 散 列 函数 的 强度 , 则 完全 可 以 知道 认证 机 制 抗 密码 分 析 的 强度 。 
图 4-14 给 出 了 HMAC 的 总 体 结构 。 


K+ ipad 

b 位 b 人 位 2 位 

Si | ho | hi Yi 
nn 位 
IV Hash 
天 opad 位 
H(SIIMD) 
b 位 


填充 至 bp 位 
1 


S | 


| 


IV 一 一 | Hash 


n 位 
HMAC(K. M) 


图 4-14 HMAC 的 总 体 结构 


图 中 : H 为 戏 入 的 散 列 函数 (如 MD5、SHA-1、RIPEMD-160); IV 为 作为 散 列 函数 输 
入 的 初始 值 ; M 为 HMAC 的 消息 输入 (包括 由 做 入 散 列 函数 定义 的 填充 位 ); Y; 为 M 的 第 
i 个 分 组 ,0 三 i 三 (LL 一 1); 工 为 M 中 的 分 组 数 ; 0 为 每 一 分 组 所 含 的 位 数 ; n 为 租 入 的 散 列 
函数 所 产生 的 散 列 码 长 ; K 为 密 钥 ,建议 密 钥 长 度 三 n. 若 密 钥 长 度 大 于 0b, 则 将 密 钥 作为 散 
列 函 数 的 输入 .来 产生 一 个 7 位 的 密 钥 ; Kt 为 使 K 为 b 位 长 而 在 K 左边 填充 0 后 所 得 的 
结果 ; ipad 为 内 层 填充 ,00110110( 十 六 进 制 数 36) 重 复 5/8 次 的 结果 ; opad 为 外 层 填充 ， 
01011100( 十 六 进 制 数 5C) 重 复 5/8 次 的 结果 。 

HMAC 可 描述 如 下 : 

HMAC(K.M)=H[L(K+@opad) || HL(K+ @ipad) | MJ] 

也 就 是 说 : 

Q@ 在 左边 填充 0, 得 到 5b 位 的 KT1 (例如 ,车 K 是 160 位 ,5 二 512, 则 在 K 中 加 入 44 个 
0 字 节 0X00)。 

@ K+ 与 ipad 执行 异 或 运算 ( 逐 位 异 或 ) 产 生 65 位 的 分 组 S;。 

图 将 M 附 于 S; 后 。 
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@ 将 HH 作用 于 步骤 @@ 所 得 出 的 结果 。 

@@ KT 与 opad 执行 异 或 运算 (位 异 或 ) 产 生 2 位 的 分 组 S。。 

@ 将 步骤 田中 的 散 列 码 附 于 S。 后 。 

@ 将 也 作用 于 步骤 @ 四 所 得 出 的 结果 ,并 输出 该 函数 值 。 

注意 ,K 与 ipad 异 或 后 ,其 信息 位 有 一 半 发 生 了 变化 ; 同样 ,K 与 opad 异 或 后 ,其 信息 
位 的 另 一 半 也 发 生 了 变化 ,这 样 ,通过 将 S; 与 S。 传 给 散 列 算法 中 的 压缩 函数 ,我 们 可 以 从 
K 伪 随 机 地 产生 出 两 个 密 钥 。 

HMAC 多 执行 了 三 次 散 列 压缩 函数 (对 S;,S。 和 内 部 的 散 列 产 生 的 分 组 ) ,但 是 对 于 长 
消息 ,HMAC 和 瞬 入 的 散 列 函数 的 执行 时 间 应 该 大 致 相同 。 


第 S 章 数字 签名 


在 实际 生活 中 ,许多 事情 的 处 理 需 要 人 们 手写 签名 。 签 名 起 到 了 鉴别 .核准 .负责 等 作 
用 ,表明 签名 者 对 文档 内 容 的 认可 ,并 产生 某 种 承诺 或 法 律 上 的 效应 。 数 字 签 名 是 手写 签名 
的 数字 化 形式 ,是 公 钥 密码 学 发 展 过 程 中 最 重要 的 概念 之 一 ,也 是 现代 密码 学 的 一 个 最 重要 
的 组 成 部 分 之 一 。 自 从 1976 年 数字 签名 的 概念 被 提出 ,就 受到 了 特别 的 关注 。 数 字 签 名 已 
成 为 计算 机 网 络 不 可 缺少 的 一 项 安全 技术 ,在 商业 金融、 军事 等 领域 ,得 到 了 广泛 的 应 用 。 
各 国 对 数字 签名 的 使 用 颁布 了 相应 的 法 案 。 美国 2000 年 通过 的 《电子 签名 全 球 与 国内 贸易 
法 案 ) 就 规定 数字 签名 与 手写 签名 具有 同等 法 律 效力 ,我 国 的 《电子 签名 法 也 规定 可 靠 的 数 
字 签 名 与 手写 签名 或 印章 有 同等 法 律 效 力 。 

本 章 介绍 数字 签名 基本 概念 、 一 些 著 名 的 数字 签名 方案 以 及 一 些 特殊 形式 的 数字 签名 。 


5.1 数字 签名 简介 


5.1.1 数字 签名 的 必要 性 


消息 鉴别 通过 验证 消息 完整 性 和 真实 性 ,可 以 保护 信息 交换 双方 不 受 第 三 方 的 攻击 ,但 
是 它 不 能 处 理 通信 双方 内 部 的 相互 的 攻击 ,这些 攻 击 可 以 有 多 种 形式 。 

例如 ,假定 发 送 方 A 与 接收 方 B 在 通信 中 使 用 基于 MAC 的 消息 鉴别 方法 。 考 虑 下 面 
两 种 情形 : 

(1) B 可 以 伪造 一 条 消息 并 称 该 消息 发 自 A。 此 时 ,B 只 需 产 生 一 条 消息 ,用 A 和 B 共 
享 的 密 钥 产生 消息 鉴别 码 ,并 将 消息 鉴别 码 附 于 消息 之 后 。 因 为 A 和 B 共享 密 钥 , 则 A 无 
法 证 明 自 己 没 有 发 送 过 该 消息 。 

(2) A 可 以 否认 曾 发 送 过 某 条 消息 。 同 样 道理 .因为 A 和 B 共享 密 钥 ,B 可 以 伪造 消 
息 ,所 以 无 法 证 明 A 确实 发 送 过 该 消息 。 

这 两 种 情形 都 是 法 律 关注 的 。 例 如 ,对 于 第 一 种 情形 .在 进行 电子 资金 转账 时 ,接收 方 
可 以 增加 转账 资金 ,并 声称 这 是 来 自发 送 方 的 转账 资金 额 ; 对 于 第 二 种 情形 ,股票 经 纪 人 收 
到 有 关 电 子 邮 件 消息 ,要 他 进行 一 笔 交 易 .而 这 笔 交 易 后 来 失败 了 ,但 是 发 送 方 可 以 伪 称 从 

在 通信 双方 彼此 不 能 完全 信任 对 方 的 情况 下 .就 需要 除 消息 鉴别 之 外 的 其 他 方法 来 解 
决 这 些 问 题 。 数 字 签名 是 解决 这 个 问题 的 最 好 方法 , 它 的 作用 相当 于 手写 签名 。 用 户 A 发 
送 消息 给 B,B 只 要 通过 验证 附 在 消息 上 的 A 的 签名 .就 可 以 确认 消息 是 否 确实 来 自 于 A。 
同时 ,因为 消息 上 有 A 的 签名 ,人 A 在 事后 也 无 法 抵赖 所 发 送 过 的 消息 。 因 此 ,数字 签名 的 基 
本 目的 是 认证 ,核准 和 负责 ,防止 相互 欺骗 和 抵赖 。 数 字 签 名 在 身份 认证 、 数 据 完整 性 、 不 可 
否认 性 和 匿名 性 等 方面 有 着 广泛 的 应 用 。 
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5.1.2 数字 签名 的 概念 及 其 特征 


数字 签名 在 ISO 7498-2 标准 中 定义 为 :“ 附 加 在 数据 单元 上 的 一 些 数据 ,或 是 对 数据 单 
元 所 作 的 密码 变换 ,这 种 数据 和 变换 允许 数据 单元 的 接收 者 用 以 确认 数据 单元 来 源 和 数据 
单元 的 完整 性 ,并 保护 数据 ,防止 被 人 (例如 接收 者 ) 进 行 伪造 ”。 
数字 签名 体制 也 叫 数字 签名 方案 ,一 般 包 含 两 个 主要 组 成 部 分 , 即 签 名 算法 和 验证 算 
法 。 对 消息 M 签名 记 为 * 王 Sig(mz) ,而 对 签名 的 验证 可 记 为 Ver(Cy)E10,1}。 数 字 签 名 
体制 的 形式 化 定义 如 下 。 
定义 5-1 一 个 数字 签名 体制 是 一 个 五 元 组 (M, A, K, S, V), 其 中 : 
。M 是 所 以 可 能 的 消息 的 集合 , 即 消息 空间 。 
。A 是 所 有 可 能 的 签名 组 成 的 一 个 有 限 集 ,成 为 签名 空间 。 
。K 是 所 有 密 钥 组 成 的 集合 ,成 为 密 钥 空间 。 
。S 是 签名 算法 的 集合 ,V 是 验证 算法 的 集合 ,满足 : 对 任意 kEK, 有 一 个 签名 算法 
Sigs 和 一 个 验证 算法 Ver ,使 得 对 任意 消息 mE€ M, 每 个 签名 aE A,Ver(m,a) 二 
1, 当 且 仅 当 a= Sigi (m)。 
在 数字 签名 体制 中 ,a 二 Sigi (mm) 表 示 使 用 密 钥 对 消息 mr 签名 , (mw,a) 称 为 一 个 消息 - 
签名 对 。 发 送 消息 时 ,通常 将 签名 附 在 消息 后 。 
基于 公 钥 密码 算法 和 对 称 密码 算法 都 可 以 获得 数字 签名 ,目前 主要 是 基于 公 钥 密码 算 
法 的 数字 签名 。 在 基于 公 钥 密码 的 签名 体制 中 .签名 算法 必须 使 用 签名 人 的 私 钥 ,而 验证 算 
法 则 只 使 用 签名 人 的 公 钥 。 因 此 ,只 有 签名 人 才 可 能 产生 真实 有 效 的 签名 ,只 要 他 的 私 钥 是 
安全 的 。 签 名 的 有 效 性 能 被 任何 人 验证 ,因为 签名 人 的 公 钥 是 公开 可 访问 的 。 
数字 签名 必须 具有 下 列 特征 : 
。 可 验证 性 。 信 息 接收 方 必须 能 够 验证 发 送 方 的 签名 是 否 真 实 有 效 。 
。 不 可 伪造 性 。 除 了 签名 人 之 外 ,任何 人 不 能 伪造 签名 人 的 合法 签名 。 
。 不 可 否认 性 。 发 送 方 在 发 送 签名 的 消息 后 ,无 法 抵赖 发 送 的 行为 ; 接收 方 在 收 到 消 
息 后 ,也 无 法 否认 接收 的 行为 。 
。 数据 完整 性 。 数 字 签 名 使 得 发 送 方 能 够 对 消息 的 完整 性 进行 校 验 。 换 句 话说 ,数字 
签名 具有 消息 鉴别 的 功能 。 
根据 这 些 特征 ,数字 签名 应 满足 下 列 条 件 : 
。 签名 必须 是 与 消息 相关 的 二 进 制 位 串 。 
。 签名 必须 使 用 发 送 方 某 些 独 有 的 信息 ,以 防伪 造 和 否认 。 
。 产生 数字 签名 比较 容易 。 
。 识别 和 验证 签名 比较 容易 。 
。 伪造 数字 签名 在 计算 上 是 不 可 行 的 。 无 论 是 从 给 定 的 数字 签名 伪造 消息 ,还 是 从 给 
定 的 消息 伪造 数字 签名 .在 计算 上 都 是 不 可 行 的 。 
。 保存 数字 签名 的 副本 是 可 行 的 。 
安全 散 列 函数 满足 上 述 条 件 。 
数字 签名 的 方法 有 多 种 :这些 方法 可 分 为 两 类 : 直接 数字 签名 和 仲裁 数字 签名 。 
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5.1.3 直接 数字 签名 

直接 数字 签名 只 涉及 通信 双方 。 假 定 接收 方 已 知 发 送 方 的 公 钥 , 则 发 送 方 可 以 用 自己 
的 私 钥 对 整个 消息 或 消息 的 散 列 码 加 密 来 产生 数字 签名 ,接收 方 用 发 送 方 的 公 钥 对 签名 进 
行 验证 从 而 确认 签名 和 消息 的 真实 性 ,如 图 5-1 所 示 。 


发 送 方 A 接收 方 B 
M c 人 M 
PRA PUA 
(a) 
H 
M M “(HU 1 
| PRA PUA ”比较 
-四 | 
(~(E) E(PRA,H(M)) 2 


(b) 
图 5-1 直接 数字 签名 原理 


如 果 发 送 方 用 接收 方 的 公 钥 ( 公 钥 密码 ) 和 共享 的 密 钥 (对 称 密码 ) 再 对 整个 消息 和 签名 
加 密 , 则 可 以 获得 保密 性 ,如 图 5-2 所 示 。 


发 送 者 A 接收 者 B 
M | c C’ -GO- C 全 M 
PRA PUB PRB PUA 
(a) 
源 A = 一 宿 B 二 


MD TD 


图 
K 天 
E(K, [MIIE(PRAHCM)]) / 
E(PRA,H(M)) 


(b) 
5-2 签名 和 保密 


注意 这 里 是 先进 行 签名 ,然后 才 执 行 外 层 的 加 密 , 这 样 在 发 生 和 争执 时 ,第 三 方 可 以 查看 
消息 及 其 签名 。 若 先 对 消息 加 密 , 然 后 才 对 消息 的 密 文 签名 ,那么 第 三 方 必 须知 道 解 密 密 钥 
才能 读 取 原 始 消 息 。 但 是 签名 若是 在 内 层 进行 .那么 接收 方 可 以 存储 明文 形式 的 消息 及 其 
签名 ,以 备 将 来 解决 争执 时 使 用 。 

直接 签名 方法 有 这 样 一 个 弱点 , 即 签名 的 有 效 性 依赖 于 发 送 方 私 钥 的 安全 性 。 如 果 发 
送 方 想 否 认 以 前 曾 发 送 过 某 条 消息 ,那么 他 可 以 称 其 私 钥 已 丢失 或 被 次 用 ,其 他 人 伪造 了 他 
的 签名 。 可 以 通过 在 私 钥 的 安全 性 方面 进行 控制 来 阻止 或 至 少 减少 这 种 情况 的 发 生 。 比 较 
典型 的 做 法 ,要 求 每 条 要 签名 的 消息 都 包含 一 个 时 间 戳 (日 期 和 时 间 ): 以 及 在 密 钥 被 泄密 后 


1 
比较 
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应 立即 向 管理 中 心 报告 。 
s.1.4 仲裁 数字 签名 


仲裁 签名 是 在 通信 双方 和 仲裁 者 之 间 进 行 的 ,可 以 解决 直接 数字 签名 中 出 现 的 问题 。 

与 直接 签名 方法 一 样 ,也 有 多 种 仲裁 签名 方法 。 一 般 来 说 ,这 些 方 法 都 是 这 样 执行 的 : 
从 发 送 方 A 到 接收 方 B 的 每 条 已 签名 的 消息 都 先 发 送 给 仲裁 者 X,X 对 消息 及 其 签名 进行 
检查 以 验证 消息 源 及 其 内 容 , 然 后 给 消息 加 上 日 期 并 发 送 给 B, 同 时 指明 该 消息 已 通过 仲裁 
者 的 检验 。X 的 加 入 解决 了 直接 数字 签名 所 面临 的 问题 , 即 A 可 能 否认 发 送 过 这 条 消息 。 

在 这 种 类 型 的 方法 中 ,仲裁 者 起 着 关键 作用 ,通信 各 方 都 应 非常 信任 仲裁 机 制 。 

图 5-3 给 出 了 几 个 仲裁 签名 的 例子 。 


发 送 方 A 仲裁 X Ka 接收 方 B 
M I E 
WE A A 
Oh. a 7 
IDA——! 
和 MIIE(Kxa, [IDAIH(M)]) E(Kap, [IDAIIMIIE(K\s, [IDAIH(OM) DDT) 
(a) 传统 加 密 ， 仲 裁 者 能 阅读 消息 
发 送 方 A 人 20 加 个 接收 方 B 
M ~- 
a -|p 
i Ks TRECKw [AIEC MOD 
E(Kvs, [IDAIH(E(CKsp, MD)]) E(Kya, [IDAIH(E(Kap, MIT]) 


(b) 传统 加 密 ， 仲 裁 者 不 能 阅读 消息 


发 送 方 A PRA PpUBs PRA 仲裁 X Pe oR, 接收 方 B 
™ - 国 -® | -® D7 -四 I - 回 71- 
72” [十 


IDA  E(PRa, [IDAECPUs. E(PRa, M))]) ECR, a E(PRa, MT]) 
(0c) 公 钥 加 密 ， 仲 裁 者 不 能 阅读 消息 
图 5-3 ”仲裁 数字 签名 方案 


图 5-3(a) 给 出 的 方法 基于 对 称 密码 算法 。 假 定 发 送 方 A 和 仲裁 者 X 共享 密 钥 K、,,X 
和 B 共享 密 钥 K,。A 产生 消息 M 并 计算 出 其 散 列 值 HCM) ,然后 A 将 消息 M 和 签名 发 
送 给 X, 其 签名 由 A 的 标识 IDA 和 散 列 值 组 成 ,并 且 用 K,, 加 密 。X 对 签名 解密 后 ,通过 检 
查 散 列 值 来 验证 该 消息 的 有 效 性 ,然后 X 用 K,, 对 IDs ,发 自 A 的 原始 消息 M、 签 名 和 时 间 
截 加 密 后 传 给 B。B 对 X 发 来 的 消息 解密 即 可 恢复 消息 M 和 签名 。 时 间 戳 告诉 B 该 消息 
是 及 时 的 消息 ,而 不 是 重 放 的 消息 。B 可 以 存储 M 和 签名 ,发生 争执 时 也 可 将 下 列 消息 发 
给 X 以 证 明 曾 收 到 过 来 自 A 的 消息 : 

ECK,[IDA | M | ECK,, ,LIDA || HOM DJ) 
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仲裁 者 先 用 K,, 恢 复出 IDA,M 和 签名 ,然后 用 K, 解 密 该 签名 并 验证 其 散 列 码 。 在 这 
种 方法 中 ,签名 只 是 用 于 解决 争执 ,B 不 能 直接 读 取 A 的 签名 。 因 为 消息 来 自 X, 所 以 B 认 
为 来 自 A 的 消息 是 真实 的 ,这 种 方法 中 双方 应 对 X 高 度 信 任 : 

。 A 必须 相信 X 不 会 泄露 K,,, 并 且 不 会 产生 形 为 E(X,,,[IDs | HCM)]) 的 伪造 

签名 。 

。 B 必须 相信 X 只 在 散 列 值 正确 并 且 签 名 确实 是 由 A 产生 时 , 才 发 送 ECK ,LIDA | 

MI EC(K», ;LIDa || HOM JD) 1 TZT)。 

。 双方 必须 相信 X 会 公正 地 解决 争执 。 

如 果 仲 裁 者 X 确实 能 做 到 这 一 点 ,那么 A 可 以 确信 没 人 能 伪造 他 的 签名 ,B 可 以 确信 
A 无 法 否认 他 的 签名 。 

图 5-3C(a) 给 出 的 方法 中 ,任何 窃听 者 都 能 读 取 该 消息 。 图 5-3(b) 给 出 的 方法 不 仅 可 以 
提供 仲裁 签名 ,而 且 还 能 保证 消息 的 保密 性 。 在 这 种 方法 中 ,假定 A 和 B 共享 密 钥 K,,。A 
用 下, 对 其 标识 ID。、 用 下 ,, 加 密 后 的 消息 的 散 列 值 加 密 产 生 签 名 ,然后 将 其 标识 、 用 Ks 加 
密 后 的 消息 和 签名 发 送 给 X。 和 前 面 一 样 ,X 先 对 签名 解密 并 通过 检验 散 列 值 来 验证 消息 
的 有 效 性 ,由 于 X 处 理 的 是 加 密 后 的 消息 ,因此 X 不 能 读 取 消息 。X 用 K;, 对 A 发 来 的 所 
有 内 容 以 及 一 个 时 间 截 加 密 后 发 送 给 B。 

尽管 仲裁 者 不 能 读 取消 息 ,但 他 仍然 可 以 防止 A 或 B 的 欺诈 行为 。 但 这 种 方法 和 第 一 
种 方法 都 存在 这 样 一 个 问题 , 即 仲裁 者 可 能 与 发 送 方 共同 否认 一 个 已 签名 的 消息 ,或 者 与 接 
收 方 共 同 伪造 发 送 方 的 签名 。 

图 5-3(c) 所 示 的 基于 公 钥 密码 的 方法 可 以 解决 上 述 问题 。A 对 消息 M 两 次 加 密 , 即 先 
用 其 私 钥 PRA 对 消息 M 加 密 , 然 后 再 用 B 的 公 钥 PUs 加 密 ,得 到 加 密 后 的 签名 ; A 再 用 
PRA 对 其 标识 和 上 述 加 密 后 的 签名 加 密 并 连同 IDA 一 起 发 送 给 X。 上 述 内 层 两 次 加 密 后 
的 消息 对 除 B 外 的 所 有 人 (包括 仲裁 者 X) 是 保密 的 ,但 是 XX 可 以 对 外 层 的 加 密 进行 解密 以 
验证 消息 确实 发 自 A( 因 为 只 有 A 有 私 钥 PRA)。X 检查 A 的 公 / 私 钥 对 是 否 仍 然 有 效 , 若 
是 则 消息 是 有 效 的 。 然 后 X 再 用 PR 对 IDA \ 两 次 加 密 后 的 消息 和 一 个 时 间 惟 加 密 后 传送 
给 B。 

与 前 面 两 种 方法 相 比 ,这 种 方法 有 许多 优点 。 第 一 ,通信 各 方 在 通信 前 不 共享 任何 信 
息 , 从 而 避免 联合 欺诈 ; 第 二 .即使 PRA 已 泄密 ,但 PR, 没有 泄密 ,那么 时 间 惟 不 正确 的 消 
息 是 不 能 被 发 送 的 ; 最 后 .消息 对 XX 或 其 他 人 来 讲 是 保密 的 。 


5.2 数字 签名 算法 


自 数 字 签 名 的 概念 被 提出 .人 们 设计 了 多 种 数字 签名 的 算法 。 比 较 著名 的 有 RSA、 
EIGamal、Schnorr、DSS 等 。 本 节 介 绍 基于 RSA 的 数字 签名 和 数字 签名 标准 DSS 。 


5.2.1 基于 RSA 的 数字 签名 


RSA 密码 体制 既 可 以 用 于 加 密 , 又 可 以 用 于 签名 。RSA 数字 签名 方案 是 最 容易 理解 
和 实现 的 数字 签名 方案 ,其 安全 性 基于 大 整数 因子 分 解 的 困难 性 。 
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图 5-4 描述 了 基于 RSA 的 数字 签名 方法 。RSA 数字 签名 方法 要 使 用 一 个 散 列 函数 ， 
散 列 函 数 的 输入 是 要 签名 的 消息 ,输出 是 定 长 的 散 列 码 。 发 送 方 用 其 私 钥 和 RSA 算法 对 该 
散 列 码 加 密 形成 签名 ,然后 发 送 消 息 及 其 签名 。 接 收 方 收 到 消息 后 计算 散 列 码 , 并 用 发 送 方 
的 公 钥 对 签名 解密 得 到 发 送 方 计算 的 散 列 码 ,如果 两 个 散 列 码 相 同 , 则 认为 签名 是 有 效 的 。 
因为 只 有 发 送 方 拥有 私 钥 , 因 此 只 有 发 送 方 能 够 产生 有 效 的 签名 。 


ECPRA. HIM)) 


图 5-4 RSA 数字 签名 
5.2.2 数字 签名 标准 


1. 数字 签名 标准 

NIST 于 1991 年 提出 了 一 个 联邦 数字 签名 标准 , 称 之 为 数字 签名 标准 (DSS)。DSS 使 
用 安全 散 列 算法 (SHA), 给 出 了 一 种 新 的 数字 签名 方法 , 即 数 字 签 名 算法 (DSA)。 与 RSA 
不 同 ,DSS 是 一 种 公 钥 方法 ,但 只 提供 数字 签名 功能 .不 能 用 于 加 密 或 密 钥 分 配 。 

DSS 数字 签名 方法 如 图 5-5 所 示 。 


加 


r PUG PUA 


Ver 比较 


5-5 ”DSS 数字 签名 方法 


DSS 方法 也 使 用 散 列 函数 , 它 产 生 的 散 列 码 和 为 此 次 签名 而 产生 的 随机 数 & 作 为 签名 
函数 的 输入 ,签名 函数 依赖 于 发 送 方 的 私 钥 PRA 和 一 组 参数 ,这些 参数 为 一 组 通信 伙伴 所 
共有 ,我 们 可 以 认为 这 组 参数 构成 全 局 公 钥 PUe 。 

接收 方 对 接收 到 的 消息 产生 散 列 码 .这 个 散 列 码 和 签名 一 起 作为 验证 函数 的 输入 ,验证 
函数 依赖 于 全 局 公 钥 和 发 送 方 公 钥 PU ,车 验 证 函数 的 输出 等 于 签名 中 的 7 成 分 , 则 签名 
是 有 效 的 。 签 名 函数 保证 只 有 拥有 私 钥 的 发 送 方才 能 产生 有 效 签 名 。 

2. 数字 签名 算法 

DSA 安全 性 基于 计算 离散 对 数 的 困难 性 ,并 起 源 于 ElGamal 和 Schnorr 提出 的 数字 签 
为 法 之 上 3 

图 5-6 归纳 总 结 了 DSA 算法 。 公 和 钥 由 三 个 参数 p.g、g 组 成 .并 为 一 组 用 户 所 共有 。 首 先 
选择 一 个 160 位 的 素数 gq; 然后 选择 一 个 长 度 在 512 一 1024 之 间 的 素数 jp, 并且 使 得 g 是 (p 一 1) 的 
素 因 子 ; 最 后 选择 形 为 h**-"%mod p 的 g, 其 中 hh 是 1 到 pp 一 1 之 间 的 整数 且 g 大 于 1。 
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全 局 公 钥 组 成 签名 
为 素数 ,其 中 2! 一 p 二 2+ ,512 过 L 志 1024 且 工 是 r=(g:mod p)mod g 
64 的 倍数 , 即 工 的 位 长 在 512 一 1024 之 间 并 且 其 增 s=[k (HC(MD+zr) Jmod g 
量 为 64 位 gq(p 一 1) 的 素 因子 ,其 中 2” 一 g 一 2”; 即 签名 一 Cr,s) 
位 长 为 160 位 g 一 Ar bmod p, 其 中 是 满足 1 一 
1 -<(p 一 1) ,并 且 er-Damod p 之 1 的 任何 整数 验证 
w=(s) !modg 
用 户 的 私 钥 w=[H(M)w]jmod g 
工 为 随机 或 伪 随 机 整数 且 0 二 + 一 gq us=(r)w modg 
v=[(g" y”)mod pjmod g 
用 户 的 公 钥 检验 : v= 二 x 
A M 表示 签名 的 消息 
与 用 户 每 条 消息 相关 的 秘密 值 0 人 
dh on lan i M' ,r,s 表示 接收 到 的 Mr，s 


图 5-6 ”数字 签名 算法 DSA 


选 定 这 些 参数 后 ,每 个 用 户 选 择 私 钥 并 产生 公 钥 。 私 钥 x 必须 是 随机 或 伪 随 机 选择 的 
素数 , 取 值 区 间 是 L1, g 一 1]。 公 和 钥 则 根据 公式 > 一 s* mod p 计算 得 到 。 由 给 定 的 x 计算 y 
比较 简单 ,而 由 给 定 的 > 确定 x 则 在 计算 上 是 不 可 行 的 ,因为 这 就 是 求 > 的 以 g 为 底 的 模 p 
的 离散 对 数 , 而 求 离 散 对 数 是 困难 的 。 

假设 要 对 消息 M 进行 签名 。 发 送 方 需 计算 两 个 参数 r 和 ;, 它 是 公 钥 (p,q,g)、 用 户 私 
钥 (z)、 消 息 的 散 列 码 太 CM) 和 附加 整数 k 的 函数 ,其 中 是 随机 或 伪 随 机 产生 的 ,0 二 kg， 
且 k 对 每 次 签名 是 唯一 的 。 

为 了 对 签名 进行 验证 ,接收 方 计算 值 v, 它 是 公 钥 (p,q,g)、 发 送 方 公 钥 、 接 收 到 的 消息 
的 散 列 码 的 函数 , 若 ” 与 签名 中 的 -~ 相同 , 则 签名 是 有 效 的 。 

图 5-7 描述 了 上 述 签名 和 验证 函数 。 


pqIsg 
yas 
H 
wil 2 
s! 人 用 
le 
We 比较 
s= fi(H(M),kx.r,g)(K H(M)+txr mod 9 w=_fa(s',g-(s') mod g 
r=fa(kp,g.g)(g ‘mod pmod g v=fi,9,8,H(M") wr') 
(gH Mmod gyr" mod gmod pmod g 
(a) 签名 (b) 验证 


5-7 DSS 签名 和 验证 函数 


DSA 算法 有 这 样 一 个 特点 ,接收 端的 验证 依赖 于 ~: 但 是 -~ 却 根 本 不 依赖 于 消息 , 它 是 A 
和 全 局 公 钥 的 函数 。k(mod dg) 的 乘法 道 元 传 给 函数 的 输入 还 包含 消息 的 散 列 码 和 用 户 私 
钥 , 函 数 的 这 种 结构 使 接收 方 可 利用 其 收 到 的 消息 、 签 名 , 它 的 公 钥 以 及 全 局 公 钥 来 恢复 ~。 

由 于 求 离散 对 数 的 困难 性 ,攻击 者 从 7 恢复 出 & 或 从 s 恢复 出 x 都 是 不 可 行 的 。 
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5.3 ”特殊 形式 的 数字 签名 


在 数字 签名 的 应 用 中 ,许多 应 用 环境 对 其 提出 了 多 种 特殊 的 要 求 . 产 生 了 很 多 特殊 形式 
的 数字 签名 ,如 盲 签名 、 群 签名 、 多 重 签名 、 代 理 签名 等 。 


5.3.1 讶 签名 


育 签 名 是 一 种 特殊 的 数字 签名 , 它 与 通常 的 数字 签名 的 不 同 之 处 在 于 ,签名 者 并 不 知道 
他 所 要 签发 文件 的 具体 内 容 。 正 是 这 一 特点 ,使 得 盲 签 名 这 种 技术 可 广泛 应 用 于 许多 领域 ， 
如 电子 投票 系统 和 电子 现金 系统 等 。 

盲 签名 允许 消息 拥有 者 先 将 消息 言 化 ,而 后 让 签名 者 对 盲 化 的 消息 进行 签名 ,最 后 消息 
拥有 者 对 签名 除去 盲 因子 ,得 到 签名 者 关于 原 消 息 的 签名 。 因 此 , 讶 签名 是 一 种 签名 者 在 不 
能 获取 消息 内 容 的 情况 下 进行 数字 签名 的 特殊 技术 。 

育 签 名 的 过 程 如 图 5-8 所 示 。 


消息 和 =| 用 户 讶 变换 | 签名 者 生成 签名 一 一 | 用 户 脱 盲 变换 一 -| 得 到 签名 


图 5-8 言 签名 的 过 程 


关于 盲 签 名 ,曾经 给 出 了 一 个 非常 直观 的 说 明 : 所 谓 盲 签名 ,就 是 先 将 隐蔽 的 文件 放 进 
信封 里 ,而 除去 盲 因 子 的 过 程 就 是 打开 这 个 信封 。 当 文件 在 一 个 信封 中 时 ,任何 人 不 能 读 
它 。 对 文件 签名 就 是 通过 在 信封 里 放 一 张 复写 纸 ,签名 者 在 信封 上 签名 时 ,他 的 签名 便 透 过 
复写 纸 签到 文件 上 。 

除了 满足 一 般 的 数字 签名 条 件 外 , 言 签 名 还 必须 满足 下 面 的 两 条 性 质 : 

(1) 签名 者 对 其 所 签署 的 消息 是 不 可 见 的 , 即 签名 者 不 知道 他 所 签署 消息 的 具体 内 容 。 

(2) 签名 消息 不 可 追踪 , 即 当 签名 消息 被 公布 后 ,签名 者 无 法 知道 这 是 他 哪 次 签署 的 。 

现 有 的 盲 签名 方案 大 都 是 在 原 有 的 普通 数字 签名 基础 上 构造 的 。 基 于 RSA 的 盲 签名 
步骤 如 下 所 述 : 

J 系统 初始 化 。 与 RSA 数字 签名 体制 系统 初始 化 过 程 相 同 。 

@ 消息 讶 化。 消息 拥有 者 随机 选取 整数 4b, 计算 

M = Mb modn 
并 把 讶 化 的 消息 M' 发 送 给 签名 者 。 
@ 签名 。 签 名 者 计算 

S = (M)’modn 
并 将 S' 发 送 给 消息 拥有 者 。 
@ 除 盲 。 消 息 拥 有 者 计算 

S= Sb modn 
则 S 就 是 消息 签名 。 消 息 拥 有 者 将 S 与 M 交付 给 消息 接收 方 。 
@ 签名 验证 。 消 息 接 收 方 计算 

M = Smodn 
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并 验证 M' 一 M 是 否 成 立 。 车 成 立 , 则 验证 了 S 是 签名 者 对 M 的 盲 签名 ,否则 拒绝 。 
5.3.2 群 签名 


群 签名 的 思想 最 早 是 由 D. Chaum 和 E. Van. Heyst 在 1991 年 提出 的 ,他 们 描述 了 这 
样 一 个 问题 : 一 个 公司 有 多 台 计 算 机 而 且 每 台 计 算 机 都 连接 到 公司 的 局 域 网 上 。 公 司 的 每 
个 部 门 都 有 自己 的 打印 机 (也 都 和 局 域 网 相连 ), 且 只 允许 员工 使 用 自己 部 门 的 打印 机 ,因此 
在 打印 之 前 必须 验证 使 用 者 是 否 是 本 部 门 的 员工 。 同 时 为 了 保密 ,公司 不 泄露 使 用 者 的 姓 
名 ,但 是 一 旦 发 现 打 印 机 使 用 频繁 .部 门 主管 必须 能 指认 出 是 谁 滥用 了 打印 机 。 

解决 这 一 问题 就 涉及 到 要 建立 一 个 群 签名 方案 .该 方案 须 满 足以 下 三 条 性 质 : 

(1) 只 有 和 群 成 员 才能 进行 签名 。 

(2) 签名 的 接收 者 可 以 验证 所 接收 到 的 签名 是 否 有 效 .但 是 他 不 能 得 出 签名 者 是 谁 。 

(3) 在 发 生 争议 时 ,签名 可 以 被 打开 (可 以 有 群 成 员 的 帮助 也 可 以 没有 ) ,并 且 可 以 揭示 
签名 者 的 身份 。 

群 签名 的 目的 是 让 一 个 群 组 中 的 每 个 人 都 能 代表 该 群 组 签署 文件 ,而 签名 者 的 身份 受 
到 匿名 保护 ,但 是 一 旦 发 生意 外 纠纷 ,签名 者 的 身份 又 可 (只 有 管理 员 可 以 ) 恢 复出 来 。 群 签 
名 的 一 个 典型 应 用 就 是 在 公司 的 管理 中 隐藏 公司 内 部 管理 层 的 结构 ,用 群 签名 对 交易 合同 
或 其 他 文件 进行 签名 。 客 户 或 其 他 验证 者 只 需要 验证 该 文件 是 该 公司 签名 即 可 ,而 不 需要 
知道 具体 是 谁 签 的 ,因此 不 可 能 从 签名 中 得 知 公司 管理 层 的 更 详细 情况 ,而 公司 在 必要 时 又 
可 利用 和 群 签名 的 打开 功能 来 揭露 某 文件 签名 人 的 身份 ,做 到 既 隐 藏 管理 层 结 构 又 可 追查 
责任 。 

群 签 名 作为 一 个 密码 技术 ,可 以 隐藏 组 织 的 内 部 结构 ,因此 在 管理 .军事 政治、 经 济 等 
多 个 方面 有 广泛 应 用 。 比 如 在 公共 资源 的 管理 .重要 军事 命令 的 签发 .重要 领导 人 的 选举 、 
电子 商务 .重要 新 闻 的 发 布 、 金 融合 同 的 签署 等 事务 中 , 群 签名 都 可 以 发 挥 重要 作用 。 

群 签名 方案 可 以 看 作 是 包含 如 下 五 个 部 分 的 数字 签名 方案 : 

(1) 创建 (SETUP)。 产 生 群 公 钥 / 私 钥 对 (用 于 签名 /验证 ) 的 算法 .并 使 群 管理 员 得 到 
一 个 用 来 打开 群 成 员 身 份 的 私 钥 。 

(2) 注册 (JOIN)。 一 个 用 户 和 群 管理 员 之 间 的 交互 式 协议 , 它 使 得 用 户 成 为 其 群 成 
员 ,执行 该 协议 可 产生 群 成 员 的 私 钥 和 成 员 证 书 。 

(3) 签名 (SIGN) 。 一 个 算法 . 当 输入 一 个 消息 M、 某 个 群 成 员 的 证 书 和 私 钥 ,输出 对 消 
息 M 的 群 签名 。 

(4) 验证 (VERIFY)。 一 个 输入 消息 签名 和 群 公 钥 后 确定 签名 是 否 有 效 的 算法 。 

(5) 打开 (OPEN) 。 一 个 在 给 定 一 个 签名 以 及 群 管理 员 私 钥 的 条 件 下 确定 签名 者 身份 
的 算法 。 

(6) 撤销 。 通 过 该 算法 , 群 管理 员 可 以 撤销 某 个 群 成 员 ,使 得 被 撤销 的 成 员 不 能 再 代表 
该 群体 签名 ,而 其 他 合法 成 员 仍然 可 以 代表 群体 签名 。 

随 着 群 签名 的 发 展 , 人们 已 经 形成 共识 的 是 .一 个 群 签名 要 满足 以 下 基本 的 安全 性 
要 求 ， 

(1) 不 可 伪造 性 。 只 有 获得 群 成 员 证 书 和 签名 密 钥 的 群 成 员 才 能 够 生成 合法 的 群 
签名 。 
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(2) 匿名 性 。 接 收 签名 的 人 只 能 验证 签名 的 合法 性 但 不 能 判定 生成 签名 的 群 成 员 的 身 
份 , 即 使 群 中 的 其 他 群 成 员 也 不 能 判定 。 

(3) 可 跟踪 性 。 当 需要 揭示 签名 群 成 员 的 身份 时 ,有 且 唯 有 管理 员 可 以 打开 签名 ,找到 
签名 的 群 成 员 。 

(4) 抗 联合 攻击 性 。 即 使 群 成 员 联 合 在 一 起 ,也 不 能 产生 一 个 合法 的 无 法 跟踪 的 群 
签名 。 
(5) 不 关联 性 。 在 不 打开 签名 的 情况 下 ,要 判断 两 个 签名 是 否 由 同一 个 群 成 员 签署 ,在 
计算 上 是 不 可 行 的 。 

(6) 防 陷害 性 。 即 使 别 的 群 成 员 包括 群 管理 员 联 合 在 一 起 ,也 不 能 代替 另 一 个 群 成 员 
签名 。 

一 个 群 签名 方案 要 在 实际 中 得 到 应 用 ,还 必须 保证 它 具 有 和 较 高 的 效率 。 群 签名 的 效率 
主要 由 以 下 几 个 参数 决定 : 

(1) 群 公 钥 的 大 小 。 

(2) 群 签名 的 长 度 。 

(3) 群 签名 算法 和 验证 算法 的 效率 。 

(4) 创建 加入、 撤销 以 及 打开 过 程 的 效率 。 

著名 的 CS97 群 签名 方案 首次 提出 了 群 公 钥 和 签名 长 度 不 依赖 于 群 成 员 的 个 数 的 群 签 
名 方法 ,并 且 在 添加 新 成 员 时 也 不 用 修改 群 公 钥 ,可 以 应 用 到 大 群 中 。 这 就 为 群 签名 得 到 实 
际 应 用 排除 了 最 大 的 障碍 。 该 方案 以 离散 对 数 问题 和 RSA 问题 为 理论 基础 ,包括 下 面 五 个 
过 程 。 

1. 系统 建立 

群 管理 员 完 成 下 列 计算 : 

(1) 选取 一 个 RSA 公 钥 (ze) ,以 及 对 应 的 私 钥 4。 

(2) 选取 一 个 n 阶 循环 群 G 二 二 g 记 。 

(3) 选取 元 素 a€ QZ; ,使 得 模 ? 的 两 个 素 因 子 有 大 的 乘法 阶 。 

(4) 选 定 4 为 私 钥 长 度 的 上 界 和 常数 e 二 1。 

这 些 数值 的 选取 应 该 使 得 计算 G 中 以 g 为 底 的 离散 对 数 、Z; 中 以 a 为 底 的 离散 对 数 
和 以 g 为 底 的 离散 对 数 的 e 次 根 在 计算 上 是 不 可 行 的 。 群 组 的 公 钥 Y= 二 (n,e,G,g,a,A,e)。 

2. 成 员 加 入 (注册 协议 ) 

当 Alice 想 加 入 群 时 ,她 先 选 择 私 钥 XE10.1,….2: 一 1), 并 计算 wxmod n 和 和 群 成 员 密 
钥 z 二 gmod n。 然 后 ,Alice 把 y、z 以 及 对 yy 的 承诺 (例如 ,对 y 的 签名 ) 发 送 给 群 管理 员 ， 
并 利用 离散 对 数 的 知识 签名 向 群 管理 员 证 明 她 知道 y 关于 g 的 离散 对 数 。 群 管理 员 确 信 
Alice 知道 这 一 离散 对 数 时 ,就 发 送 给 她 一 个 成 员 证 书 。 

3. 签名 过 程 

为 了 代表 群 组 对 消息 M 签名 .Alice 计算 : 

(1) z 二 h'g?, 其 中 rER*。 

(2) d= yk。 

(3) Vi=E— SKPOOTREPL[ (a.P): 三 一 jg 6 ]CW) 。 
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(4) Vs=E—SKPOOTREP[ (7y,9): Eng 一 1Pg 空 ](CM) 。 


(5) Vs=SPK[(e,c): d 一 欢 人 = 一 jg5](CM) 。 
则 Alice 对 信息 M 的 签名 为 (z,d,Vi,V;,V;)。 
4. 签名 验证 


只 要 验证 (Vi,V; ,Vs) 的 正确 性 ,就 可 以 确定 是 一 个 正确 的 签名 。 因 为 对 (Vi,V, ,Vs) 

的 正确 性 验证 可 使 验证 者 确信 
Y=afimodn, gg* = fp f: 

这 表明 Alice 拥有 成 员 证 书 及 其 秘密 钥 。 

5. 打开 算法 

当 发 生 纠 纷 时 , 群 管理 员 可 以 利用 他 的 秘密 密 钥 x. 将 数据 (z,d) 解 密 , 得 到 Alice 的 公 
开 密 钥 = 一 8? ( 即 群 管理 员 计算 z= 二 z/ (d* ))。 然 后 再 做 知识 签名 SPK {a: z= 二 ad* 人 /一 
欢 } 作为 他 判决 的 证 据 。 

在 此 和 群 签名 方案 中 ,为 了 计算 群 成 员 的 身份 证 书 , 采 用 了 盲 RSA 签名 方案 ,所 以 群 管理 
员 不 知道 Alice 的 秘密 密 钥 z, 从 而 即使 群 管理 员 也 无 法 代替 Alice 进行 签名 。 

以 上 方案 是 由 基于 离散 对 数 的 群 签 名 方案 向 基于 知识 签名 的 群 签 名 方案 转变 的 分 水 
岭 。 应 用 知识 签名 严密 的 证 明 使 群 签名 方案 具有 了 前 所 未 有 的 抵抗 攻击 的 能 力 , 以 后 提出 
的 许多 方案 都 是 基于 这 一 思想 。 


5.3.3 多 重 签 名 


在 现实 生活 中 ,一 份 文 件 经 常 需要 几 个 单位 或 部 门 分 别 签字 (或 盖 章 ) 才 有 效 , 多 重 签名 
技术 就 是 在 网 络 环境 里 解决 这 类 问题 的 一 种 方法 .用 于 同一 文档 必须 经 过 多 人 的 签名 才 有 
效 的 情形 。 多 重 签名 通俗 地 讲 就 是 指 多 个 签名 者 共同 参与 对 一 份 电子 文档 进行 签名 。 简 单 
地 说 ,一 个 多 重 签名 体制 回答 这 样 几 个 问题 : 哪些 人 参加 签名 ,按照 什么 顺序 签名 ,使 用 什 
么 方法 签名 ,怎么 验证 签名 和 安全 性 如 何 得 到 保证 。 

下 面 给 出 多 重 签名 的 相关 的 定义 。 

(1) 签名 系统 。 在 一 个 多 重 签名 体制 中 ,所 有 参与 签名 的 相对 独立 而 又 按 一 定 规则 关 
联 的 实体 的 集合 ,我 们 称 为 一 个 签名 系统 。 签 名 子 系统 就 是 所 有 签名 者 的 一 个 子 集合 。 

(2) 签名 结构 。 在 一 个 多 重 签名 体制 中 ,签名 系统 中 的 任何 一 个 子 系统 的 各 成 员 按照 
特定 的 承接 关系 对 某 个 文件 进行 签名 ,这 个 承接 关系 就 称 为 这 个 签名 系统 的 一 个 签名 结构 。 
可 以 用 有 向 图 来 表示 签名 结构 ,其 中 顶点 表示 参与 签名 的 各 实体 ,有 向 边 表示 承接 关系 , 即 
数据 的 流向 。 

在 发 展 初期 ,按照 签名 结构 的 不 同 ,多 重 数字 签名 分 为 两 类 : 有 序 多 重 签名 , 即 签名 者 
之 间 的 签名 次 序 是 一 种 串 行 的 顺序 ,和 广播 多 重 签名 , 即 签名 者 之 间 的 签名 次 序 是 一 种 并 行 
的 顺序 。 近 几 年 提出 了 具有 更 一 般 化 签名 结构 的 签名 方案 : 结构 化 多 重 签名 。 在 结构 化 签名 
方案 中 ,各 成 员 按 照 事先 指定 的 签名 结构 进行 签名 。 三 种 签名 结构 的 有 向 图 表示 如 图 5-9 
所 示 。 

图 5-9 中 ,空心 圆圈 表示 的 源 点 和 终点 是 空 结 点 ,实心 圆圈 表示 签名 者 。 
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(c) 结构 化 多 重 签名 结构 


图 5-9 签名 结构 
签名 结构 对 应 的 有 向 图 都 是 简单 图 , 即 满足 下 列 的 条 件 : 
。 只 有 一 个 源 点 (人 度 为 0) 和 一 个 终点 (出 度 为 0) 。 
。 对 于 每 一 个 顶点 ,至少 存在 一 条 从 源 点 到 达 它 的 有 向 路 径 。 
。 对 于 每 一 个 顶点 , 至 少 存在 一 条 从 它 到 达 终 点 的 有 向 路 径 。 
。 图 中 不 存在 环 。 
2004 年 , Harn 等 给 出 了 一 个 基于 RSA 的 串 行 多 重 签名 方案 。 该 方案 假设 有 1 个 签名 者 ， 
并 且 有 具有 特定 的 签名 顺序 ww ， ws,… ,uw ,该 签名 顺序 是 事先 已 知 的 。 多 重 签名 包括 以 下 步骤。 
@ 初始 化 。 


每 个 签名 者 都 遵循 RSA 算法 中 密 钥 生成 的 步骤 ,随机 选取 两 个 大 素数 p; 和 9g;, 并 计算 
ni 二 piX qi。 然 后 ,每 个 签名 者 生成 自己 的 公 钥 e; 和 私 钥 di 。 


需要 指出 的 是 ,因为 这 个 串 行 多 重 签名 方案 是 顺序 敏感 的 ,mm ,ns,…,n, 需要 满足 以 下 
条 件 : 


mn 过 nn, 
@ 签名 生成 。 


假设 待 签名 的 消息 是 M,H 是 一 个 散 列 函 数 。 用 户 wu, 计算 : 


Si = H(M)! mod nm 
并 将 Si 发 送 给 Uso Uz 计算 : 


d, 
S: = SI,’ mod nz 


并 将 S; 发 送 给 us。 依 此 类 推 ,直到 最 后 一 个 签名 用 户 计算 : 


d, 
S. =.S" mod wm 
4 一 1 


则 S, 就 是 最 终 发 送 给 接收 方 的 消息 签名 。 
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@ 签名 验证 。 
为 了 验证 多 重 签名 ,接收 方 需 要 验证 : 
五 (CM) = (…((Sz mod n)m mod ms 5 mod mn 
是 否 成 立 。 
5.3.4 代理 签名 


代理 签名 , 即 原始 签名 人 将 自己 的 数字 签名 权力 委托 给 另外 一 个 人 ,被 委托 人 称 为 代理 
签名 人 。 代 理 签 名 人 可 以 代表 原始 签名 人 对 消息 进行 签名 。 代 理 签 名 也 是 可 以 公开 验 
证 的 。 

1. 代理 签名 的 组 成 

一 个 代理 签名 体制 包括 以 下 几 个 组 成 部 分 : 

(1) 初始 化 。 选 定 代理 签名 体制 的 参数 。 

(2) 签名 权 委 托 。 原 始 签名 人 将 自己 的 签名 权力 移交 给 代理 签名 人 。 

(3) 代理 签名 的 产生 。 代 理 签名 人 代表 原始 签名 人 产生 代理 签名 。 

(4) 代理 签名 验证 。 验 证 人 验证 代理 签名 的 有 效 性 。 

2. 代理 签名 的 方式 

根据 签名 权 的 委托 方式 不 同 ,代理 签 名 可 以 分 为 以 下 三 种 方式 : 

(1) 全 代理 方式 。 原 始 签名 人 将 签名 密 钥 秘密 地 传递 给 代理 签名 人 ,使 代理 签名 人 拥 
有 和 原始 签名 人 相同 的 签名 密 钥 。 原 始 签名 人 和 代理 签名 人 都 可 以 产生 签名 ,而 且 没 有 办 
法 确定 签名 来 自 于 原始 签名 人 还 是 代理 签名 人 。 

(2) 部 分 代理 方式 。 在 这 种 方式 中 ,代理 签名 密 钥 是 根据 原始 签名 人 的 签名 密 钥 计 算 
出 来 的 ,但 由 代理 签名 密 钥 不 能 计算 出 原始 签名 密 钥 。 代 理 签 名 人 使 用 代理 签名 密 钥 进行 
签名 ,而 且 , 签 名 时 要 用 到 原始 签名 人 的 公 钥 。 

(3) 委任 状 代 理 方式 。 在 这 种 方式 中 ,使 用 一 个 称 为 委任 状 的 文件 实现 签名 权 的 委托 。 
代理 签名 人 得 到 委任 状 后 ,用 自己 的 签名 密 钥 对 消息 签名 。 一 个 有 效 的 代理 签名 由 代理 签 
名 人 的 签名 和 原始 签名 人 的 委任 状 组 成 。 

实际 应 用 中 ,大 多 采用 部 分 代理 方式 。 

1996 年 ,Mambo 等 提出 了 代理 签名 的 概念 ,并 给 出 了 一 个 实现 方案 ,该 方案 如 下 所 述 : 

Q@ 初始 化 。 

选取 大 素数 P, 且 g 是 p 一 1 的 一 个 素 因 子 ,gExy 是 一 个 g 阶 生成 元 ,原始 签名 人 的 签 
名 密 钥 &AEx ,相应 的 公 钥 > 一 se mod p。 

Q@ 签名 权 委 托 。 

原始 签名 人 随机 选择 ~E x, ,并 计算 

及 一 grmodp，Zz 一 A 十 玉 modg 

原始 签名 人 通过 一 个 安全 的 信道 将 (zx.R) 发 送 给 代理 签名 人 。 代 理 签名 人 收 到 (zx,R， 

m) ,验证 等 式 


g* = yR*modp 
是 否 成 立 。 如 果 成 立 , 则 (xz,R) 是 一 个 有 效 的 代理 密 钥 ; 否则 ,拒绝 此 代理 密 钥 。 
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图 代理 签名 人 的 签名 。 
代理 签名 人 使 用 z 作为 签名 密 钥 。 代 理 签名 者 随机 选取 wE€ zi? ,并 计算 : 
W=g™” modp 

s=xm++wW modg 
将 Cm,s,R,W) 发 送 给 接收 方 。 
@ 代理 签名 验证 。 
接收 方 首先 计算 Y 二 yR* mod 户 ,然后 验证 下 列 等 式 是 否 成 立 : 

gg = (yRI)"W modp 
如 果 成 立 , 则 (Gm,s.,R,W) 是 一 个 有 效 签名 ,否则 无 效 。 
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在 现实 世界 中 ,人 们 常常 被 问 到 : 你 是 谁 ? 为 了 证 明 自 己 的 身份 ,人 们 通常 要 出 示 一 些 
证 件 , 如 身份 证 户口 本 等 。 在 计算 机 网 络 世界 中 ,这 个 问题 仍然 非常 重要 。 在 进行 通信 之 
前 ,必须 弄 清 楚 对 方 是 谁 ,确定 对 方 的 身份 ,以 确保 资源 被 合法 用 户 合理 地 使 用 。 认 证 是 防 
止 主动 攻击 的 重要 技术 ,是 安全 服务 的 最 基本 内 容 之 一 。 

计算 机 网 络 领域 的 身份 认证 是 通过 将 一 个 证 据 与 实体 绑 定 来 实现 的 。 实 体 可 能 是 用 
户 、 主 机 、 应 用 程序 甚至 是 进程 。 证 据 与 身份 之 间 是 一 一 对 应 的 关系 。 双 方 通信 过 程 中 ,一 
方 实体 向 另 一 方 提供 这 个 证 据 证 明 自 己 的 身份 . 男 一 方 通过 相应 的 机 制 来 验证 证 据 , 以 确定 
该 实体 是 否 与 证 据 所 宣称 的 身份 一 致 。 身 份 认 证 技术 在 网 络 安全 中 人 处 于 非常 重要 的 地 位 ， 
是 其 他 安全 机 制 的 基础 。 只 有 实现 了 有 效 的 身份 认证 ,才能 保证 访问 控制 ,安全 审计 、 入 侵 
防范 等 安全 机 制 的 有 效 实施 。 

根据 被 认证 实体 的 不 同 ,身份 认证 包括 两 种 情况 : 第 一 是 计算 机 认证 人 的 身份 ,也 叫 用 
户 认证 ; 第 二 种 是 计算 机 认证 计算 机 ,主要 出 现在 通信 过 程 中 的 认证 握手 阶段 。 

本 童 首先 介绍 计算 机 认证 人 (用 户 认 证 ) 和 计算 机 认证 计算 机 (认证 协议 ) 的 基本 原理 ， 
然后 介绍 三 个 在 网 络 上 提供 身份 认证 服务 的 标准 : Kerbeors、X. 509 和 PKI。 


6.1 用 户 认 证 


用 户 认 证 是 由 计算 机 对 用 户 身 份 进行 识别 的 过 程 .用 户 向 计算 机 系统 出 示 自 己 的 身份 
证 明 ,以 便 计算 机 系统 验证 确实 是 所 声称 的 用 户 ,允许 该 用 户 访问 系统 资源 。 一 个 典型 的 场 
景 是 用 户 要 使 用 公共 场所 安装 的 工作 站 。 用 户 认 证 的 实质 是 计算 机 认证 人 的 身份 ,以 查 明 
用 户 是 否 具 有 他 所 请 求 的 信息 使 用 权利 。 用 户 认 证 是 对 访问 者 授权 的 前 提 , 即 用 户 获 得 访 
问 系 统 权限 的 第 一 步 。 若 用 户 身份 得 不 到 系统 的 认可 , 则 无 法 进入 系统 访问 资源 。 

用 户 认 证 的 依据 主要 包括 以 下 三 种 : 

(1) 所 知道 的 信息 ,如 身份 证 号 码 .账号 密码 .口令 等 。 

(2) 所 拥有 的 物品 ,如 IC 卡 `USB Key 等 。 

(3) 所 具有 的 独一无二 的 身体 特征 .如 指纹 .虹膜 .声音 等 。 


6.1.1 基于 口令 的 认证 


1. 静态 口令 

基于 用 户 名 /口令 的 身份 认证 是 最 简单 .最 易 实 现 、 最 容易 理解 和 接受 的 一 种 认证 技术 ， 
也 是 目前 应 用 最 广泛 的 认证 方法 。 例 如 ,操作 系统 及 诸如 邮件 系统 等 一 些 应 用 系统 的 登录 
和 权限 管理 ,都 是 采用 “用 户 账 户 加 静态 口令 ”的 身份 识别 方式 。 口 令 是 一 种 根据 “所 知道 的 
信息 ”实现 身份 认证 的 方法 .其 优势 在 于 实现 的 简单 性 ,无 须 附加 任何 设备 ,成 本 低 、 速 度 快 。 
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从 技术 角度 讲 ,静态 口令 的 认证 必须 解决 下 面 两 个 问题 : 
1) 口令 存储 
如 果 口 令 以 明文 方式 存储 , 则 易 受 字典 攻击 ,即使 用 一 个 预先 定义 好 的 单词 列表 ,逐一 
地 尝试 所 有 可 能 的 口令 的 攻击 方式 。 通 常 口令 经 过 加 密 后 存储 在 计算 机 中 ,例如 UNIX 就 
是 采用 DES 对 口令 加 密 存储 。 一 般 系 统 的 口令 文件 存储 的 是 口令 的 散 列 值 ,即使 攻击 者 得 
到 口令 文件 ,由 于 散 列 函数 的 单 向 性 ,也 无 法 得 到 用 户口 令 。 
2) 口令 传输 
在 网 络 环境 中 ,基于 口令 的 身份 认证 系统 一 般 采 用 客户 /服务 器 模式 ,如 各 种 Web 应 
用 。 服 务 器 统一 管理 多 个 用 户 账户 ,用 户口 令 要 从 客户 机 传送 到 服务 器 上 进行 验证 。 为 了 
保证 传输 过 程 中 口令 的 安全 ,一 般 采 用 双方 协商 好 的 加 密 算 法 或 单 向 散 列 函数 对 口令 进行 
处 理 后 传输 。 
静态 基于 口令 的 认证 方式 存在 如 下 的 安全 问题 : 
。 它 是 一 种 单 因素 的 认证 方式 ,安全 性 全 部 依赖 于 口令 ,口令 一 旦 被 泄露 ,用 户 即 可 被 
*。 为 了 便于 记忆 ,用 户 往往 选择 简单 .容易 被 猜测 的 口令 ,如 生日 。 这 使 得 口令 被 攻击 
的 难度 大 大 降低 。 
。 口令 在 网 络 上 传输 的 过 程 中 可 能 被 截获 。 
。 系统 中 所 有 用 户 的 口令 以 文件 形式 存储 在 认证 方 , 攻 击 者 可 以 利用 系统 中 存在 的 漏 
洞 获 取 系 统 的 口令 文件 。 即 使 口令 经 过 加 密 , 如 果 口 令 文件 被 窃取 ,那么 就 可 以 进 
行 离线 的 字典 式 攻击 。 一 旦 攻击 者 能 够 访问 口令 表 ., 整 个 系统 的 安全 性 就 受到 了 
威胁 。 
。 用 户 在 访问 多 个 不 同安 全 级 别 的 系统 时 ,都 要 求 用 户 提供 口令 ,用 户 为 了 记忆 的 方 
便 , 往 往 采用 相同 的 口令 。 而 低 安全 级 别 系统 的 口令 更 容易 被 攻击 者 获得 ,从 而 用 
来 对 高 安全 级 别 系统 进行 攻击 。 
。 口令 方案 无 法 抵抗 重 放 攻 击 。 
。 只 能 进行 单 向 认证 , 即 系统 可 认证 用 户 ,而 用 户 无 法 对 系统 进行 认证 ,攻击 者 可 能 伪 
装 成 系统 骗取 用 户 的 口令 。 
因此 ,传统 的 静态 口令 认证 方式 正 受 到 越 来 越 多 的 挑战 ,已 经 成 为 网 络 应 用 的 薄弱 
环节 。 
2. 动态 口令 
为 了 有 效 地 改进 口令 认证 的 安全 性 .人 们 提出 了 各 种 基于 动态 口令 的 身份 识别 方法 。 
动态 口令 又 叫做 一 次 性 口令 ,是 指 在 用 户 登录 系统 进行 身份 认证 的 过 程 中 . 送 入 计算 机 系统 
的 验证 数据 是 动态 变化 的 。 动 态 口 令 的 主要 思路 是 在 登录 过 程 中 加 入 不 确定 因素 ,如 时 间 ， 
系统 执行 某 种 加 密 算法 下 (用 户 名 十 密码 十 时 间 ) .产生 一 个 无 法 预测 的 动态 口令 .以 提高 登 
录 过 程 安全 性 。 
动态 口令 的 产生 方式 一 般 包 括 以 下 几 种 : 
1) 共享 一 次 性 口令 表 
系统 和 用 户 共享 一 个 秘密 口令 表 , 每 个 口令 只 使 用 一 次 。 用 户 登 录 时 ,系统 需要 检查 用 
户 的 口令 是 否 使 用 过 
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2) 口令 序列 

用 户 拥 有 一 个 长 度 为 N、 单 向 的 ,根据 某 种 单 向 算法 前 后 相关 的 口令 序列 ,每 个 口令 只 
是 使 用 一 次 ,而 计算 机 系统 只 用 记录 一 个 口令 ,假设 是 第 M 个。 用 户 用 第 M 一 1 个 口令 登 
录 时 ,系统 用 单 向 算法 计算 第 M 个 口令 ,并 与 自己 保存 的 第 M 个 口令 比 对 ,实现 对 用 户 的 
认证 。 用 户 登录 N 次 后 ,必须 重新 初始 化 口令 序列 。 

3) 挑战 -响应 方式 

用 户 登 录 时 ,系统 产生 一 个 随机 数 发 送 给 用 户 。 用 户 使 用 某 种 单 向 算法 将 自己 的 口令 
和 随机 数 混合 起 来 运算 ,结果 发 送 给 系统 。 系 统 用 同样 的 方式 进行 运算 ,并 通过 结果 比 对 实 
现 对 用 户 的 认证 。 

4) 时 间 - 事 件 同步 机 制 

这 种 方式 可 以 看 作 “ 挑 战 -响应 ”方式 的 变形 ,区 别 在 于 以 用 户 登 录 时 间作 为 随机 因素 。 
这 种 方式 要 求 双方 的 时 间 要 同步 。 下 面 介 绍 基于 电子 令 牌 卡 生 成 口令 的 工作 原理 。 

用 户 和 计算 机 系统 之 间 共 享 同一 个 用 户口 令 。 用 户 还 拥有 一 种 叫做 动态 令 牌 的 专用 硬 
件 , 内 置 电源 、 密 码 生 成 芯片 和 显示 屏 , 并 拥有 一 个 运行 专门 的 密码 算法 的 密码 生成 芯 
当 用 户 向 远程 认证 系统 发 出 登录 请 求 时 .远程 系统 向 用 户 发 送 挑战 数据 。 挑 战 数据 通常 是 
由 两 部 分 组 成 的 ,一 部 分 是 种 子 值 , 它 是 分 配给 用 户 的 在 系统 内 具有 唯一 性 的 一 个 数值 ,而 
男 一 部 分 是 随时 间或 次 数 不 断 变化 的 数值 。 用 户 接 收 到 挑战 后 .将 种 子 值 、 随 机 数值 和 用 户 
口令 输入 到 动态 令 牌 中 进行 计算 ,并 把 结果 作为 应 答 发 送 给 远程 认证 系统 。 远 程 认 证 系统 
使 用 相同 的 算法 和 数据 进行 计算 ,与 从 用 户 那里 接收 到 的 应 答 数据 作对 比 , 认 证 用 户 的 合 

动态 口令 具有 以 下 几 个 技术 特点 。 

。 动态 性 。 登 录 口令 是 不 断 变 化 的 。 

。 随机 性 。 口 令 的 产生 是 随机 的 ,具有 不 可 预测 性 。 

。 一 次 性 。 每 个 口令 只 使 用 一 次 ,以 后 不 再 使 用 。 

。 方便 性 。 用 户 不 需 记忆 口令 。 

因此 ,动态 口令 极 大 地 提高 了 用 户 身份 认证 的 安全 性 。 


6.1.2 基于 智能 卡 的 认证 


智能 卡 (Smart Card) 是 一 种 集成 的 带 有 智能 的 电路 卡 , 内 置 可 编程 的 微 处理 器 ,可 存储 
数据 ,并 提供 硬件 保护 措施 和 加 密 算法 。 在 智能 卡 中 存储 用 户 个 性 化 的 秘密 信息 ,同时 在 验 
证 服务 器 中 也 存放 该 秘密 信息 ,进行 认证 时 ,用 户 输入 PIN( 个 人 身份 识别 码 ) ,智能 卡 认 证 
PIN 成 功 后 , 即 可 读 出 智能 卡 中 的 秘密 信息 ,进而 利用 该 秘密 信息 与 主机 之 间 进 行 认证 。 其 
中 ,基于 USB Key 的 身份 认证 是 当前 比较 流行 的 智能 卡 身份 认证 方式 。 

USB Key 结合 了 现代 密码 学 技术 .智能卡 技术 和 USB 技术 .具有 以 下 特点 : 

(1) 双 因 子 认 证 。 每 一 个 USB Key 都 具有 硬件 PIN 码 保护 ,PIN 码 和 硬件 构成 了 用 户 
使 用 USB Key 的 两 个 必要 因素 , 即 所 谓 “ 双 因子 认证 ”*”。 用 户 只 有 同时 取得 了 USB Key 和 
用 户 PIN 码 , 才 可 以 登录 系统 。 即 使 用 户 的 PIN 码 被 泄露 ,只 要 用 户 持 有 的 USB Key 不 被 
盗 取 , 合 法 用 户 的 身份 就 不 会 被 假冒 ; 如 果 用 户 的 USB Key 遗失 . 拾 到 者 由 于 不 知道 用 户 
的 PIN 码 , 也 无 法 假冒 合法 用 户 的 身份 。 
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(2) 带 有 安全 存储 空间 。USB Key 具有 8 一 128KB 的 安全 数据 存储 空间 ,可 以 存储 数 
字 证 书 .用 户 密 钥 等 秘密 数据 ,对 该 存储 空间 的 读 写 操作 必须 通过 程序 实现 ,用 户 无 法 直接 
读 取 , 其 中 用 户 私 钥 是 不 可 导出 的 ,杜绝 了 复制 用 户 数字 证 书 或 身份 信息 的 可 能 性 。 

(3) 硬件 实现 加 密 算法 。USB Key 内 置 CPU 或 智能 卡 芯 片 , 可 以 实现 数据 摘要 数据 
加 解密 和 签名 的 各 种 算法 ,加 解密 运算 在 USB Key 内 进行 .保证 了 用 户 密 钥 不 会 出 现在 计 
算 机 内 存 中 ,从 而 杜绝 了 用 户 密 钥 被 黑客 截取 的 可 能 性 。 

(4) 便于 携带 ,安全 可 靠 。 如 拇指 般 大 的 USB Key 非常 便于 随身 携带 ,并 且 密 钥 和 证 
书 不 可 导出 ; USB Key 的 硬件 不 可 复制 ,更 显 安全 可 靠 。 

基于 USB Key 的 身份 认证 主要 包括 以 下 几 种 方式 : 

(1) 基于 挑战 /应 答 的 双 因 子 认 证 方式 。 先 由 客户 端 向 服务 器 发 出 一 个 验证 请 求 ,服务 
器 接 到 此 请 求 后 生成 一 个 随机 数 ( 此 为 挑战 ) 并 通过 网 络 传输 给 客户 端 。 客 户 端 将 收 到 的 随 
机 数 通过 USB 接口 提供 给 计算 单元 ,由 计算 单元 使 用 该 随机 数 与 存储 在 安全 存储 空间 中 的 
密 钥 进行 运算 并 得 到 一 个 结果 (此 为 应 答 ) 作 为 认证 证 据 传 给 服务 器 。 与 此 同时 ,服务 器 也 
使 用 该 随机 数 与 存储 在 服务 器 数据 库 中 的 该 客户 密 钥 进行 相同 运算 ,如 果 服 务 器 的 运算 结 
果 与 客户 端 回 传 的 响应 结果 相同 , 则 认为 客户 端 是 一 个 合法 用 户 。 密 钥 运 算 分 别 在 硬件 计 
算 单元 和 服务 器 中 运行 ,不 出 现在 客户 端 内 存 中 ,也 不 在 网 络 上 传输 ,从 而 保护 了 密 钥 的 安 
全 ,也 就 保护 了 用 户 身 份 的 安全 。 

(2) 基于 数字 证 书 的 认证 方式 。 随 着 PKI 技术 日 趋 成 熟 . 许 多 应 用 中 开始 使 用 数字 证 
书 进行 身份 认证 与 数据 加 密 。 数 字 证 书 是 由 权威 公正 的 第 三 方 机 构 即 CA 中 心 签发 的 ,以 
数字 证 书 为 核心 的 加 密 技术 ,可 以 对 网 络 上 传输 的 信息 进行 加 密 和 解密 数字 签名 和 签名 验 
证 ,确保 网 上 传递 信息 的 机 密 性 .完整 性 ,以 及 交易 实体 身份 的 真实 性 .签名 信息 的 不 可 否认 
性 ,从 而 保障 网 络 应 用 的 安全 性 。USB Key 作为 数字 证 书 的 存储 介质 ,可 以 保证 数字 证 书 
不 被 复制 ,并 可 以 实现 所 有 数字 证 书 的 功能 。 

基于 智能 卡 的 身份 认证 也 有 其 严重 的 缺陷 : 系统 只 认 卡 不 认 人 ,智能 卡 可 能 丢失 , 拾 到 
或 窃 得 智能 卡 的 人 将 可 能 假冒 原 持 卡 人 的 身份 。 而 且 对 于 智能 卡 认 证 .需要 在 每 个 认证 端 
添加 读 卡 设备 ,增加 了 硬件 成 本 。 


6.1.3 基于 生物 特征 的 认证 


基于 生物 特征 识别 的 认证 方式 以 人 体 具有 的 唯一 的 .可靠 的 ,终生 稳定 的 生物 特征 为 依 
据 , 利 用 计算 机 图 像 处 理 和 模式 识别 技术 来 实现 身份 认证 。 生 物 特征 识别 技术 目前 主要 利 
用 指纹 . 声 纹 .虹膜 .视网膜 ,脸形 、 掌 纹 这 几 个 方面 特征 进行 识别 。 

与 传统 的 身份 认证 技术 相 比 ,基于 生物 特征 的 身份 认证 技术 具有 以 下 优点 : 

。 不易 遗忘 或 丢失 。 

。 防伪 性 能 好 ,不 易 伪造 或 被 盗 。 

。，“ 随 身 携带 ”, 方 便 使 用 。 

目前 ,已 有 的 生物 特征 识别 技术 主要 有 指纹 识别 、 掌 纹 识别 、 手 形 识 别 、 人 脸 识别 、 虹 膜 
识别 .视网膜 识别 .声音 识别 和 签名 识别 等 。 其 中 .指纹 识别 是 最 早 研 究 并 利用 的 , 且 是 最 方 
便 、 最 可 靠 的 生物 识别 技术 之 一 。 指 纹 识 别 过 程 如 图 6-1 所 示 ,主要 包括 三 个 过 程 : 指纹 图 
像 读 取 、 特 征 提取 、 比 对 。 首 先 ,通过 指纹 读 取 设备 读 取 到 人 体 指 纹 的 图 像 , 进 行 初步 的 处 
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理 , 使 之 清晰 。 然 后 ,通过 指纹 图 像 进行 指纹 特征 数据 的 提取 ,这 是 一 种 单方 向 的 转换 。 最 
后 ,计算 机 通过 某 种 指纹 匹配 算法 进行 比 对 ,得 到 两 个 指纹 的 匹配 结果 。 


一 一 | 图 像 采 集 | 预 处 理 广 一 | 特征 提取 上 一 | 模版 保存 


注册 


生物 模版 
认证 


1 


图 像 采集 |-~| 预 处 理 | 一 | 特征 提取 | 一 | 匹配 


6-1 指纹 识别 过 程 


此 外 ,人 们 还 研究 了 其 他 的 一 些 生 物 特征 ,如 手 部 静脉 血管 模式 .DNA、 耳 形 、 身 体 气 
味 、 击 键 的 动态 特性 、 指 甲 下 面 的 真皮 结构 等 。 这 些 技术 与 上 述 的 几 大 技术 相 比 ,普遍 性 较 
差 , 主 要 用 于 一 些 特定 的 应 用 领域 。 

尽管 生物 学 特征 的 身份 验证 机 制 提供 了 很 高 的 安全 性 ,但 其 生物 特征 信息 采集 .认证 装 
备 的 成 本 较 高 ,只 适用 于 安全 级 别 比 较 高 的 场所 。 


6.2 认证 协议 


在 开放 的 网 络 环境 中 ,为 了 通信 的 安全 ,一 般 都 要 求 有 一 个 初始 的 认证 握手 过 程 , 以 实 
现 对 通信 双方 或 某 一 方 的 身份 验证 过 程 。 


6.2.1 单 向 认证 


单 向 认证 是 指 通信 双方 中 ,只 有 一 方 对 另 一 方 进行 认证 。 通 常 , 单 向 认证 协议 包括 三 个 
步骤 : 应 答 方 B 通过 网 络 发 送 一 个 挑战 ; 发 起 方 A 回 送 一 个 对 挑战 的 响应 ; 应 答 方 B 检查 
此 响应 ,然后 再 进行 通信 。 单 向 认证 既 可 以 采用 对 称 密码 技术 实现 ,也 可 以 采用 公 钥 密码 技 
术 实 现 。 

基于 对 称 加 密 的 单 向 认证 方案 如 图 6-2 所 示 。 

在 图 6-2(a) 所 示 协 议 中 .B 随机 选择 一 个 挑战 尺 发 送 给 A,A 收 到 后 使 用 共享 的 密 钥 Kas 


加 密 尺 并 将 解密 结果 发 送 给 B. 则 B 加密 得 到 R', 通 过 验 | mp 

证 R 一 R' 来 实现 对 A 的 单 向 身份 认证 。 图 6-2(b) 所 示 协 | A 挑战 R B 

议 是 图 6-2(a) 的 一 个 变形 。B 随机 选择 一 个 挑战 尺 ,并 是 

将 R 加 密 发 送 给 A。A 收 到 后 使 用 共享 的 密 钥 Kns 解 四 

密 收 到 的 数据 ,得 到 R' 并 发 送 给 B。 同样,B 可 以 验证 Tk 

R= 二 R' 来 实现 对 A 的 单 向 身份 认证 。 [ER 
如 果 存 在 一 个 密 钥 分 发 中 心 (Key Distribution | ^ Z| 

Cender,KDC) ,并 且 基 于 对 称 加 密实 现 单 向 认证 ,其 方 

法 如 图 6-3 所 示 。 中 


每 个 用 户 与 密 钥 分 配 中 心 (KDC) 共 享 唯一 的 一 个 6-2 ”基于 对 称 加 密 的 单 向 认证 
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IDAlIDalImN， 
E(Ka, [KaallIDalINil 
KDC 
x ECKB. [KaBllIDADD) B 


E(Ks, [KaBllIDA]) 


| 


6-3 ”基于 对 称 加 密 的 、KDC 干预 的 单 向 认证 


主 密 钥 ,A 有 一 个 除了 它 外 只 有 KDC 知道 的 密 钥 KA ,同样 ,B 有 一 个 Ks。 设 A 要 与 B 建 
立 一 个 逻辑 连接 ,需要 用 一 个 一 次 性 的 会 话 密 钥 来 保护 数据 的 传输 。 具体 过 程 是 这 
样 的 : 

(1) A 向 KDC 请 求 一 个 会 话 密 钥 以 保护 与 B 的 逻辑 连接 。 消 息 中 有 A 和 B 的 标识 及 
唯一 的 标识 Ni ,这 个 标识 我 们 称 为 临时 交互 号 (nonce)。 

(2) KDC 以 用 Ks。 加 密 的 消息 做 出 响应 。 消 息 中 有 两 项 内 容 是 给 A 的 : 

。 一 次 性 会 话 密 钥 Kns ,用 于 会 话 。 

。 原始 请 求 消息 ,包括 临时 交互 号 ,以 使 A 使 用 适当 的 请 求 匹配 这 个 响应 。 

此 外 ,消息 中 有 两 项 内 容 是 给 B 的 : 

。 一 次 性 会 话 密 钥 Kns ,用 于 会 话 。 

。， A 的 标识 符 IDA 。 

这 两 项 用 Ks(KDC 与 B 共 享 的 主 密 钥 ) 加 密 。 它 们 将 发 送 给 B, 以 建立 连接 并 证 明 A 
的 标识 。 

(3) A 存 下 会 话 密 钥 备用 ,并 将 消息 的 后 两 项 发 给 


ID, 

B, 即 ECKs, [Kas | IDA])。 现 在 日 已 知道 会 话 密 铀 本 成 
Ka ,知道 它 稍 后 的 通话 伙伴 是 A( 来 自 IDa), 且 知道 这 | ^ EpRA 局 
些 消息 来 自 于 KDC( 因 为 它 是 用 Ks 加 密 的 )。 至 此 .B " 
实现 了 对 A 的 认证 过 程 。 四 

基于 公 钥 加 密 的 简单 单 向 认证 方案 如 图 6-4 所 示 : | 

在 6-4(a) 所 示 方 案 中 ,B 给 A 发 送 一 个 挑战 ,而 A | 和 Al- ECUs® je 
则 用 自己 的 私 钥 对 R 加 密 ,B 可 以 通过 A 的 公 钥 解密 并 RR 
验证 A 的 身份 。6-4(b) 中 ,B 将 挑战 RR 用 A 的 公 钥 加 
密 后 发 送 ,A 则 用 自己 的 私 钥 解 密 得 到 R',B 通过 验证 
R 一 R' 来 实现 对 A 的 单 向 身份 认证 。 人 


6.2.2 双向 认证 


双向 认证 是 一 个 重要 的 应 用 领域 . 指 通信 双方 相互 验证 对 方 的 身份 。 双 向 认证 协议 可 
以 使 通信 双方 确信 对 方 的 身份 并 交换 会 话 密 钥 。 保 密 性 和 及 时 性 是 认证 的 密 钥 交换 中 两 个 
重要 的 问题 。 为 防止 假冒 和 会 话 密 钥 的 泄密 ,用 户 标 识 和 会 话 密 钥 这 样 的 重要 信息 必须 以 
密 文 的 形式 传送 ,这 就 需要 事先 已 有 能 用 于 这 一 目的 的 密 钥 或 公 钥 。 因 为 可 能 存在 消息 重 
放 , 所 以 及 时 性 非常 重要 ,在 最 坏 情 况 下 ,攻击 者 可 以 利用 重 放 攻击 威胁 会 话 密 钥 或 者 成 功 
地 假冒 男 一 方 。 
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下 面 列 出 了 一 些 重 放 攻 击 的 方法 : 
。 简单 重 放 : 攻击 者 只 是 简单 地 复制 消息 并 在 以 后 重 放 这 条 消息 。 
。 可 检测 的 重 放 : 攻击 者 在 有 效 的 时 限 内 重 放 有 时 间 截 的 消息 。 
。 不 可 检测 的 重 放 : 由 于 原始 消息 可 能 被 禁止 而 不 能 到 达 其 接收 方 . 所 以 只 有 通过 重 
放 消 息 才能 将 消息 发 送 到 接收 方 . 此 时 可 能 出 现 这 种 攻击 。 
。 不 加 修改 的 逆向 重 放 : 这 是 向 消息 发 送 方 的 重 放 。 如 果 使 用 对 称 密码 并 且 发 送 方 
不 能 根据 内 容 来 区 分 发 出 的 消息 和 接收 的 消息 ,那么 可 能 出 现 这 种 攻击 。 
对 付 重 放 攻击 的 方法 之 一 是 ,在 每 个 用 于 认证 交换 的 消息 后 附加 一 个 序列 号 ,只 有 序列 
号 正确 的 消息 才能 被 接受 。 但 是 这 种 方法 存在 这 样 一 个 问题 , 即 它 要 求 每 一 通信 方 都 要 记 
录 其 他 通信 各 方 最 后 的 序列 号 ,因此 ,认证 和 密 钥 交换 一 般 不 使 用 序列 号 ,而 是 使 用 下 列 两 
种 方法 之 一 : 
。 时 间 戳 : 仅 当 消息 包含 时 间 惟 并 且 在 A 看 来 这 个 时 间 戳 与 其 所 认为 的 当前 时 间 足 
够 接近 时 ,A 才 认 为 收 到 的 消息 是 新 消息 ,这 种 方法 要 求 通信 各 方 的 时 钟 应 保持 
同步 。 
。 挑战 /应 答 : 车 A 要 接收 B 发 来 的 消息 , 则 A 首先 给 B 发 送 一 个 临时 交互 号 ( 挑 
战 ) ,并 要 求 B 发 来 的 消息 (应 答 ) 包 含 该 临时 交互 号 。 
时 间 惟 方法 不 适合 于 面向 连接 的 应 用 。 第 一 , 它 需 要 某 种 协议 保持 通信 各 方 的 时 钟 同 
步 ,为 了 能 够 处 理 网 络 错误 ,该 协议 必须 能 够 容错 ,并 且 还 应 能 抗 恶 意 攻击 ; 第 二 ,如 果 由 于 
通信 一 方 时 钟 机 制 出 错 而 使 同步 失效 .那么 攻击 成 功 的 可 能 性 就 会 增 大 ; 第 三 ,由 于 各 种 不 
可 预知 的 网 络 延 时 ,不 可 能 保持 各 分 布 时 钟 精确 同步 。 因 此 ,任何 基于 时 间 惟 的 程序 都 应 有 
足够 长 的 时 限 以 适应 网 络 延 时 ,同时 应 有 足够 短 的 时 限 以 使 攻击 的 可 能 性 最 小 。 
另 一 方面 ,挑战 /应 答 不 适合 于 无 连接 的 应 用 ,因为 它 要 求 在 任何 无 连接 传输 之 前 必须 
先 握手 ,这 与 无 连接 的 主要 特征 相 违背 。 
与 单 向 认证 类 似 , 双 向 认证 既 可 以 采用 对 称 密码 技术 实现 ,也 可 以 采用 公 钥 密码 技术 
实现 。 
1. 基于 对 称 加 密 的 双向 认证 
可 以 通过 使 用 两 层 对 称 加 密 密 钥 的 方式 来 保证 分 布 式 环境 中 通信 的 保密 性 。 通 常 , 这 
种 方法 要 使 用 一 个 可 信 的 密 钥 分 配 中 心 (KDC)。 在 网 络 中 ,各 方 与 KDC 共享 一 个 称 为 主 
密 钥 的 密 钥 ,KDC 负责 产生 通信 双方 通信 时 短期 使 用 的 密 钥 ( 称 为 会 话 密 钥 ), 并 用 主 密 钥 
保护 这 些 会 话 密 钥 的 分 配 。 基 于 KDC 实现 双向 认证 的 经 典 协议 是 Needham 和 Schroder 
设计 的 一 个 协议 ,如 图 6-5 所 示 。 


该 协议 可 归纳 如 下 : 

(1) A 一 KDC， IDA || IDs || NN, 

(2) KDC—>A: EC(Ka ,LKns | IDs | Ni || ECKs ,LKas | IDa 1)]) 
(3) A—B.: ECRKss LRae | IDA] | ECR iy Ny) 

(4) B—>A: 下 RN Ny 


(5) A—B.: E(Kns,f(N;)) 
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IDallIDslINV 


K 
E(Ka, [KasllIDelIN! D 生成 密 钥 KaB 
| le .EeelpaD) jc 


A E(Ka, [KEAallIIDADIIECAs, N2) B 


E(KAB, N2, N3) 


E(Kap,f(N3) 


6-5 ”基于 对 称 加 密 的 双向 认证 


A,B 和 KDC 分 别 共享 密 钥 KK。 和 Ke ,该 协议 的 目的 是 要 保证 将 会 话 密 钥 Kas 安 全 地 
分 配给 A 和 B。A 首先 告诉 KDC, 要 和 B 通 信 。N, 的 作用 是 防止 攻击 方 通过 消息 重 放假 
冒 KDC。 在 步骤 2,A 安全 地 获得 新 的 会 话 密 钥 Kas。 在 步骤 3,A 发 送 一 个 包括 两 个 部 分 
的 消息 给 B; 第 一 部 分 来 自 KDC, 是 用 Ks 加 密 的 会 话 密 钥 Kss 和 A 的 标识 ,第 二 部 分 是 用 
Ks 加 密 的 挑战 N: 。 在 步骤 4,B 解密 得 到 会 话 密 钥 Kas 和 挑战 N: ,然后 B 用 Ka 加密 N。 
和 新 的 挑战 Ns ,并 发 送 给 A,Ns 的 作用 是 证 明 B 知道 KAs, Ns 的 作用 是 要 求 A 证 明 自己 
知道 KAs。 步 又 5 使 B 确 信和 已 知 KAs。 至 此 ,A 和 B 相 互 认证 了 对 方 的 身份 ,并 且 建 立 
了 会 话 密 钥 Kans。 

2. 基于 公 钥 加 密 的 双向 认证 

用 公 钥 密码 进行 会 话 密 钥 分 配 的 方法 见 图 6-6。 


(1) E(PUa, [NIllIDaD) 


ee 
ee 


(4) E(PUB, E(PRA, Ks)) 
6-6 ”基于 公 钥 密码 的 双向 认证 


(1) A 用 B 的 公 钥 对 含有 其 标识 ID。 和 挑战 (N11) 的 消息 加 密 , 并 发 送 给 B。 其 中 Ni 
用 来 唯一 标识 本 次 交易 。 

(2) B 发 送 一 条 用 PUA 加 密 的 消息 ,该 消息 包含 A 的 挑战 (Ni) 和 B 产生 的 新 挑战 
(Ns)。 因 为 只 有 B 可 以 解密 消息 (1), 所 以 消息 (2) 中 的 Ni 可 使 A 确信 其 通信 伙伴 是 B。 

(3) A 用 B 的 公 钥 对 Na 加 密 , 并 返回 给 B, 这 样 可 使 B 确信 其 通信 伙伴 是 A。 

至 此 ,A 与 BB 实现 了 双向 认证 。 

(4) A 选择 密 钥 Ks ,并 将 M 一 E(PUs.E(PRa .Ks)) 发 送 给 B。 使 用 B 的 公 钥 对 消息 加 
密 可 以 保证 只 有 B 才 能 对 它 解 密 ; 使 用 A 的 私 钥 加 密 可 以 保证 只 有 A 才能 发 送 该 消息 。 

(5) B 计算 DOPUA ,DCPRa .M) ) 得 到 密 钥 。 

步骤 (4) .步骤 (5) 实 现 了 对 称 密码 的 密 钥 分 配 。 
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6.3 下 erberos 


Kerberos 是 20 世纪 80 年 代 美 国 麻 省 理工 学 院 (MIT) 开 发 的 一 种 基于 对 称 密码 算法 
的 网 络 认 证 协议 ,允许 一 个 非 安 全 的 网 络 上 的 两 台 计 算 机 通过 交换 加 密 消息 互相 证 明 身 份 。 
一 旦 身份 得 到 验证 ,Kerberos 协议 给 这 两 台 计 算 机 提供 密 匙 ,以 进行 安全 的 通信 。 

Kerberos 阐述 了 这 样 一 个 问题 : 假设 有 一 个 开放 的 分 布 环境 .用 户 通 过 用 户 名 和 口令 
登录 到 工作 站 。 从 登录 到 登 出 这 段 时 间 称 为 一 个 登录 会 话 。 在 某 个 登录 过 程 中 ,用 户 可 能 
希望 通过 网 络 访问 各 种 远程 资源 .这些 资 源 需 要 认证 用 户 的 身份 。 用 户 工 作 站 蔡 用 户 实施 
认证 过 程 , 以 获得 资源 使 用 权 ,而 用 户 不 需 知 道 认 证 的 细节 。 服 务 器 能 够 只 对 授权 用 户 提供 
服务 ,并 能 鉴别 服务 请 求 的 种 类 。 

Kerberos 的 设计 目的 就 是 解决 分 布 式 网 络 环境 下 ,用 户 访问 网 络 资源 时 的 安全 问题 ， 
即 工作 站 的 用 户 希 望 获得 服务 器 上 的 服务 ,服务 器 能 够 对 服务 请 求 进行 认证 ,并 能 限制 授权 
用 户 的 访问 。 

Kerberos 是 为 TCP/IP 网 络 设计 的 可 信 第 三 方 认 证 协议 ,利用 可 信 第 三 方 (Kerberos 
服务 器 ) 进 行 集中 的 认证 。Kerberos 具有 以 下 特点 : 

(1) 安全 。Kerberos 提供 强大 的 安全 机 制 防止 非法 用 户 的 入 侵 , 攻 击 者 不 能 伪装 成 合 
法 用 户 进行 窃听 。 只 要 Kerberos 服务 器 是 安全 的 , 则 认证 服务 就 是 安全 的 。 

(2) 可 靠 。Kerberos 采用 分 布 式 的 服务 器 结构 ,并 且 随 时 对 系统 进行 备份 , 因而 
Kerberos 具有 高 度 的 可 靠 性 。 

(3) 透明 性 。 在 认证 过 程 中 ,只 要 求 用 户 输 入 一 个 口令 ,后 续 认 证 过 程 对 用 户 是 透明 的 。 

(4) 可 伸缩 性 。Kerberos 采用 模块 化 ,分 布 式 的 结构 .能 够 支持 大 量 的 客户 和 服务 器 。 

目前 常用 的 Kerberos 有 两 个 版 本 。 版 本 4 被 广泛 使 用 .而 版 本 5 改进 了 版 本 4 中 的 安 
全 性 ,并 成 为 Internet 标准 草案 (RFC 1510)。 


6.3.1 Kerberos 版 本 4 


Kerberos 通过 提供 一 个 集中 的 认证 服务 器 来 负责 用 户 对 服务 器 的 认证 和 服务 器 对 用 
户 的 认证 ,而 不 是 为 每 个 服务 器 提供 详细 的 认证 协议 。Kerberos 的 实现 包括 一 个 运行 在 网 
络 上 某 个 物理 安全 结 点 处 的 密 钥 分 发 中 心 (Key Distribution Cender, KDC) 以 及 一 个 函数 
库 , 各 需要 认证 用 户 身 份 的 分 布 式 应 用 程序 调用 这 个 函数 库 实现 对 用 户 的 认证 。Kerberos 
的 设计 目标 是 使 用 户 通 过 用 户 名 和 口令 登录 到 工作 站 ,工作 站 基于 口令 生成 密 钥 , 并 使 用 密 
钥 和 KDC 联系 ,以 代替 用 户 获得 远程 资源 的 使 用 授权 。 

1. Kerberos 配置 

Kerberos 的 版 本 4 在 协议 中 使 用 DES 来 提供 认证 服务 。 每 个 实体 都 有 自己 的 密 钥 , 称 
为 该 实体 的 主 密 钥 ,这 个 主 密 钥 是 和 KDC 共享 的 。 用 户主 密 钥 从 用 户口 令 生 成 ,因此 用 户 
需要 记 住 自己 的 口令 ; 而 网 络 设备 则 存储 自己 的 主 密 钥 。Kerberos 服务 器 称 为 KDC, 包 括 
两 个 重要 的 模块 : 认证 服务 器 (Authentication Server, AS) 和 门票 授权 服务 器 (TGS) 。 
KDC 有 一 个 记录 实体 名 字 和 相应 主 密 钥 的 数据 库 。 为 保证 KDC 数据 库 的 安全 ,这 些 实体 
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主 密 钥 用 KDC 的 主 密 钥 加 密 。 

用 户 通过 用 户 名 和 口令 登录 到 工作 站 , 主 密 钥 根据 其 口令 生成 。 工 作 站 可 以 记 住 用 户 
名 和 口令 ,并 使 用 这 些 信息 来 完成 后 面 的 认证 过 程 。 但 是 这 样 做 不 是 很 安全 。 如 果 用 户 在 
登录 会 话 过 程 中 运行 了 不 可 信和 软件 . 则 易 造成 口令 的 泄露 。 为 了 降低 风险 ,在 用 户 登 录 后 ， 
工作 站 首先 向 KDC 申请 一 个 会 话 密 钥 .而 且 只 用 于 本 次 会 话 。 随 后 .工作 站 忘掉 用 户 名 和 
口令 ,使 用 这 个 会 话 密 钥 和 KDC 联系 .完成 认证 的 过 程 ,获得 远程 资源 的 使 用 授权 。 会 话 
密 钥 只 在 一 段 时 间 内 有 效 , 这 大 大 降低 了 该 密 钥 泄露 造成 安全 问题 的 风险 。 

在 用 户 A 登录 工作 站 的 时 候 , 工 作 站 向 AS 申请 会 话 密 钥 。AS 生成 一 个 会 话 密 钥 SA 
并 用 A 的 主 密 钥 加 密 发 送 给 A 的 工作 站 。 此 外 ,AS 还 发 送 一 个 门票 授权 门票 (Ticket- 
Granting Ticket,TGT),TGT 包含 用 KDC 主 密 钥 加 密 的 会 话 密 钥 Sa、A 的 ID 以 及 密 钥 过 
期 时 间 等 信息 。A 的 工作 站 用 A 的 主 密 钥 解密 ,然后 工作 站 就 可 以 忘记 A 的 用 户 名 和 口 
令 , 而 只 需要 记 住 Sh。 和 TGT。 每 当 用 户 申请 一 项 新 的 服务 ,客户 端 则 用 TGT 证 明 自 己 的 
身份 ,向 TGS 发 出 申请 。 

当 用 户 A 告诉 TGS 需要 和 B 通信 ,TGS 为 双方 生成 一 个 会 话 密 钥 Kas ,并 用 密 钥 SA 
加 密 Ka 发 送 给 A; TGS 还 发 送 给 A 一 个 访问 B 的 服务 授权 门票 ,门票 的 内 容 是 使 用 B 的 
主 密 钥 加 密 的 会 话 密 钥 KAs 和 和 A 的 ID。A 无 法 读 取 门票 中 的 信息 ,因为 门票 用 B 的 主 密 钥 
加 密 。 为 了 获得 B 上 的 资源 使 用 授权 ,A 将 门票 发 送 给 B,B 可 以 解密 该 门票 ,获得 会 话 密 
钥 Kns 和 A 的 ID。 基 于 Kas,A 和 B 实现 了 双向 的 身份 认证 。 同 时 ,Kas 还 用 于 后 续 通信 的 
加 密 和 鉴别 。Kas 和 访问 B 的 问 票 称 为 访问 B 的 证 书 。 

服务 认证 交换 : 获得 会 话 密 钥 和 TGT 

用 户 A 登录 到 工作 站 ,工作 站 联系 KDC 获得 会 话 密 钥 和 TGT 的 过 程 如 图 6-6 所 示 。 


IDA, Password 
[AS-REQ] 
生成 SA 
A [AS-REP] AS 找到 A 的 主 密 钥 KA 
ECKA. SAITGT) 生成 TGT=E(Kkpc, IDAllSA) 


图 6-7 获得 会 话 密 钥 和 TGT 


用 户 A 输入 用 户 名 和 口令 登录 工作 站 .工作 站 以 明文 方式 发 送 请 求 消息 给 KDC ,消息 
中 包括 A 的 用 户 名 。 收 到 请 求 后 .KDC(AS 模块 ) 使 用 A 的 主 密 钥 加 密 访问 TGS 所 需 的 
证 书 ,该 证 书包 括 : 

。 会 话 密 钥 SA 。 

。 TGT。TGT 包括 会 话 密 钥 、 用 户 名 和 过 期 时 间 . 并 用 KDC 的 主 密 钥 加 密 . 因 此 只 有 

KDC 才 可 以 解密 该 TGT。 

证 书 使 用 A 的 主 密 钥 Ka。 加密. 并 发 送 给 A 的 工作 站 。 工 作 站 将 A 的 口令 转换 为 
DES 密 钥 。 工 作 站 收 到 证 书后 .就 用 密 钥 解密 证 书 , 如 果 解 密 成 功 , 则 工作 站 抛弃 A 的 主 密 
钥 , 只 保留 TGT 和 会 话 密 钥 。 

Kerberos 中 ,将 工作 站 发 送 给 KDC 的 请 求 称 为 KRB_AS_REQ. 即 Kerberos 认证 服务 
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请 求 (Kerberos Authentication Server Request); 将 KDC 的 应 答 消 息 称 为 KRB_AS_REP， 
即 Kerberos 认证 服务 响应 (Kerberos Authentication Server Response)。 消 息 交 换 过 程 可 
以 简单 描述 为 : 

(1) A 一 AS: IDA | IDres || TS 。 

(2) AS-~~A: ECIKA,[SA | IDe。 || TS; | Lifetimes || TGT]) 。 

TGT = ECKxkpc,[SA ‖IDA || ADA || ID。。 || TS; || Lifetime; ]) 

两 条 消息 的 具体 元 素 如 表 6-1 所 示 : 


表 6-1 服务 认证 交换 : 获得 TGT 
KRB_AS_REQ: 用 户 申 请 TGT 


IDA 告知 AS 客户 端的 用 户 标识 

IDe。 告知 AS 用 户 请 求 访问 TGS 

TS 使 AS 能 验证 客户 端 时 钟 是 否 与 AS 时 钟 同步 
KRB_AS_REP: AS 返回 TGT 

Ka 基于 用 户口 令 的 密 钥 便 得 AS 与 客户 端 能 验证 口令 ,保护 消息 的 内 容 
客户 端 可 访问 的 会 话 密 钥 , 由 AS 创建 ,使 得 客户 端 和 TGS 在 不 需要 共享 永久 密 钥 的 前 
提 下 安全 交换 信息 

IDue 标识 该 门票 是 为 TGS 生成 的 

TS; 通知 客户 端 门票 发 放 的 时 间 戳 

Lifetime; 通知 客户 端 门票 的 生命 期 

TGT 客户 端 用 于 访问 TGS 的 门票 


2. 服务 授权 门票 交换 : 请 求 访问 远程 资源 
有 了 TGT 和 会 话 密 钥 ,A 就 可 以 与 TGS 通话 。 假 设 A 请 求 访问 远程 服务 器 B 的 资 
源 。 由 A 向 TGS 发 送 消息 ,消息 中 包含 TGT 和 所 申请 服务 的 标识 ID。 另 外 ,此 消息 中 还 
包含 一 个 认证 值 ,包括 B 的 用 户 标 识 ID, 网 络 地 址 和 时 间 戳 。 与 TGT 的 可 重用 性 不 同 ,此 
认证 值 仅 能 使 用 一 次 且 生 命 期 极 短 。Kerberos 中 将 这 个 请 求 消息 称 为 KRB_TGS_REQ。 
当 TGS 接 到 KRB_TGS_REQ 消息 后 .用 SA 解密 TGT.TGT 包含 的 信息 说 明 用 户 A 
已 得 到 会 话 密 钥 SA, 即 相 当 于 宣布 “任何 使 用 SA 的 用 户 必 为 A”。 接 着 ,TGS 使 用 该 会 话 
密 钥 解密 认证 消息 ,用 得 到 的 信息 检查 消息 来 源 的 网 络 地 址 ,如 匹配 , 则 TGS 确认 该 门票 的 
发 送 者 与 门票 的 所 有 者 是 一 致 的 。TGS 发 送 一 个 应 答 消 息 , 此 消息 称 为 KRB_TGS_REP， 
用 TGS 和 A 的 共享 会 话 密 钥 加 密 , 且 包含 A 与 服务 器 B 的 共享 密 钥 、 服 务 器 B 的 标识 ID 
以 及 门票 的 时 间 惟 。 门 票 自身 包含 相同 的 会 话 密 钥 。 至 此 .A 拥有 了 服务 器 B 的 一 个 可 重 
用 的 服务 授权 门票 。 
服务 授权 门票 的 消息 交换 过 程 如 图 6-8 所 示 : 
这 一 消息 交换 过 程 可 以 简单 描述 为 : 
(3) A 一 TGS: IDs || TGT | Authenticator。 
(4) TGS-~A: ECSA,[KAs || IDs || TS || Tickete]) 
TGT = E(Kxvc ,LSa || IDa || ADA || IDiss || TS; || Lifetimes]) 
TicketB = EC(Ks,[LKas || IDA || ADA || IDs || TS, || Lifetime, ]) 
Authenticatorc = ECSA ,LIDA | ADA | TS; ]) 
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[TGS-REQ] 


请 求 访问 B 


IDalITGTIIAuthenticatore 


[TGS-REP] TGS 
E(Sa, [KAalIIDallITickete] 


6-8 ”获得 服务 授权 门票 


两 条 消息 的 具体 元 素 如 表 6-2 所 示 。 


表 6-2 服务 授权 门票 交换 


KRB_TGS_REQ: 客户 端 申 请 服务 授权 门票 


IDs 


告知 TGS 用 户 希望 访问 的 服务 器 B 


ToT 


告知 TGS 该 用 户 已 被 AS 认证 


Authenticatore 


客户 端 生 成 的 合法 门票 


KRB_TGS_REP: TGS 返回 服务 授权 门票 


得 用 A 与 TGS 共享 的 密 钥 保护 消息 的 内 容 

Kn 客户 端 可 访问 的 会 话 密 钥 ,由 TGS 创建 ,使 得 客户 端 和 服务 器 在 不 需要 共享 永久 
密 钥 的 前 提 下 安全 交换 信息 

IDs 标识 该 门票 是 为 服务 器 B 生成 的 

TS 通知 客户 端 门票 发 放 的 时 间 戳 

Tickets 客户 端 用 于 访问 服务 器 B 的 门票 

TGT 重用 ,以 免 用 户 重新 输入 口令 

开 kpc 由 AS 和 TGS 共享 的 密 钥 加 密 的 门票 ,防止 伪造 

Sk TGS 可 访问 的 会 话 密 钥 .用 于 解密 认证 消息 即 认证 门票 

IDA 标识 门票 的 合法 所 有 者 

ADA 防止 门票 在 与 申请 门票 时 的 不 同 工 作 站 上 使 用 

HN 向 服务 器 确保 门票 解密 正确 

TS 通知 TGS 门票 发 放 的 时 间 

Lifetimes 防止 门票 过 期 后 继续 便 用 


AuthenticatorA 


向 TGS 确保 此 门票 的 所 有 者 与 门票 发 放 时 的 所 有 者 相同 ,用 短 生命 期 防止 重 


SA 


用 客户 端 与 TCS 共享 的 密 钥 加 密 认 证 消息 ,防止 伪造 


IDA 门票 中 必须 与 认证 消息 匹配 的 标识 ID 
ADA 门票 中 必须 与 认证 消息 匹配 的 网 络 地 址 
TS: 通知 TGS 认证 消息 的 生成 时 间 


3. 客户 /服务 器 认证 交换 : 访问 远程 资源 
用 户 A 访问 远程 服务 器 B 的 过 程 如 图 6-9 所 示 。 
用 户 A 的 工作 站 给 服务 器 B 发 送 一 个 请 求 消息 .此 消息 在 Kerberos 中 称 为 KRB_AP_ 
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AP-REQ 
TicketellKap(timestamp) 
解密 门票 得 到 KaB 
A B 解密 认证 值 
验证 时 间 截 


AP-REP 
Kap(timestamp+1) 


6-9 访问 远程 资源 


REQ , 即 “ 应 用 请 求 "消息 。AP_REQ 包含 访问 B 的 门票 和 认证 值 。 认 证 值 的 形式 是 用 A 
和 B 共享 的 会 话 密 钥 开 As 加 密 当 前 时 间 。B 解密 A 发 送 的 门票 得 到 密 钥 和 A 的 ID。 然 后 ， 
B 解密 认证 值 以 确认 和 他 通信 的 实体 确实 知道 密 钥 ,同时 检查 时 间 , 以 保证 这 个 消息 不 是 重 
放 消 息 。 现 在 ,B 已 经 认证 了 A 的 身份 。B 的 应 答 消息 在 Kerberos 中 称 为 KRB_AP_REP。 
AP_REP 的 消息 作用 是 为 了 实现 A 对 B 的 认证 。 具 体 实 现 机 制 是 B 将 解密 得 到 的 时 间 值 
加 1, 用 Kas 加密 后 发 回 给 A。A 解密 消息 后 可 得 到 增加 后 的 时 间 戳 ,由 于 消息 是 被 会 话 密 
钥 加 密 的 ,A 可 以 确信 此 消息 只 可 能 由 服务 器 B 生成 。 消 息 中 的 内 容 确 保 该 应 答 不 是 一 个 
对 以 前 消息 的 应 答 。 
至 此 ,客户 端 A 与 服务 器 B 实现 了 双向 认证 ,并 共享 一 个 密 钥 Kns ,该 密 钥 可 以 用 于 加 
密 在 它们 之 间 传 递 的 消息 或 交换 新 的 随机 会 话 密 钥 。 
这 一 消息 交换 过 程 可 以 简单 描述 为 : 
(5) A>BTickets | Authenticatora。 
(6) B-~AECKAs,[LTSs 十 1])( 对 所 有 认证 ) 。 
Tickets= ECKa ,[KAa | IDA || ADA || IDs || TS, || Lifetime4]); 
AuthenticatorA = E(Kns [IDa | 外 AD || TSs:]) 。 
表 6-3 总 结 了 这 一 阶段 两 条 消息 中 的 各 元 素 。 
表 6-3 ”客户 /服务 认证 交换 用 
KRB_AP_REQ: 客户 端 申请 服务 
Tickets 向 服务 器 证 明 该 用 户 通过 了 AS 的 认证 
Authenticatore 客户 端 生成 的 合法 门票 
KRB_AP_REP: 可 选 的 客户 端 认 证 服务 器 


KAs 向 客户 端 A 证 明 该 消息 来 源 于 服务 器 B 

TSs 十 1 向 客户 端 A 证 明 该 应 答 不 是 对 原来 消息 的 应 答 

Tickete 可 重用 .使 得 用 户 在 多 次 使 用 同一 服务 器 时 不 需要 向 TGS 申请 新 门票 
Ks 用 TGS 与 服务 器 共享 的 密 钥 加 密 的 门票 .防止 仿造 

Ks 客户 端 可 访问 的 会 话 密 钥 .用 于 解密 认证 消息 

IDA 标识 门票 的 合法 所 有 者 


ADA 防止 门票 在 与 申请 门票 时 的 不 同 工 作 站 上 使 用 
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KRB_AP_REP: 可 选 的 客户 端 认证 服务 器 

IDs 确保 服务 器 能 正确 解密 门票 

TS, 通知 服务 器 门票 发 放 的 时 间 

Lifetimes 防止 门票 超时 使 用 

AuthenticatorA 向 服务 器 确保 此 门票 的 所 有 者 与 门票 发 放 时 的 所 有 者 相同 ,用 短 生 命 期 防止 重用 
Kns 用 客户 端 与 服务 器 共享 的 密 钥 加 密 的 认证 消息 ,防止 假冒 

IDA 门票 中 必须 与 认证 消息 匹配 的 标识 ID 

ADA 门票 中 必须 与 认证 消息 匹配 的 网 络 地 址 

TSs 通知 服务 器 认证 消息 的 生成 时 间 


4. Kerberos 域 和 多 重 Kerberos 


Kerberos 环境 包括 Kerberos 服务 器 .若干 客户 端 和 若干 应 用 服务 器 

(1) Kerberos 服务 器 必须 有 存放 用 户 标识 (UID) 和 用 户口 令 的 数据 库 。 所 有 用 户 必 须 
在 Kerberos 服务 器 注册 。 

(2) Kerberos 服务 器 必须 与 每 个 应 用 服务 器 共享 一 个 特定 的 密 钥 `. 所 用 应 用 服务 器 必 
须 在 Kerberos 服务 器 注册 。 

这 种 环境 称 为 一 个 Kerberos 域 。Kerberos 域 是 一 组 受 管 结 点 ,它们 共享 同一 
Kerberos 数据 库 。Kerberos 数据 库 驻 留 在 Kerberos 主 控 计算 机 系统 上 ,该 计算 机 系统 应 
位 于 物理 上 安全 的 房间 内 。Kerberos 数据 库 的 只 读 副本 也 可 以 驻 留 在 其 他 Kerberos 计算 
机 系统 上 。 但 是 ,对 数据 库 的 所 有 更 改 都 必须 在 主 控 计 算 机 系统 进行 。 更改 或 访问 
Kerberos 数据 库 要 求 有 Kerberos 主 控 密码 。 还 有 一 个 概念 是 Kerberos 主体 。Kerberos 
主体 是 Kerberos 系统 指导 的 服务 或 用 户 。 每 个 Kerberos 主体 通过 主体 名 称 进 行 标识 。 主 
体 名 称 由 三 部 分 组 成 : 服务 或 用 户 名 称 、 实 例 名 称 以 及 域名 。 

隶属 于 不 同行 政 机 构 的 客户 /服务 器 网 络 通常 构成 了 不 同 域 ,在 一 个 Kerberos 服务 器 
中 注册 的 客户 与 服务 器 属于 同一 个 行政 区 域 .但 由 于 一 个 域 中 的 用 户 可 能 需要 访问 另 一 个 
域 中 的 服务 器 ,而 某 些 服务 器 也 希望 能 给 其 他 域 的 用 户 提 供 服务 ,所 以 也 应 该 为 这 些 用 户 提 
供认 证 。 

Kerberos 提供 了 一 种 支持 这 种 域 间 认证 的 机 制 。 为 支持 域 间 认证 ,应 满足 一 个 需求 : 
每 个 互 操作 域 的 Kerberos 服务 器 应 共享 一 个 密 钥 ,双方 的 Kerberos 服务 器 应 相互 注册 。 

这 种 模式 要 求 一 个 域 的 Kerberos 服务 器 必须 信任 其 他 域 的 Kerberos 服务 器 对 其 用 户 
的 认证 。 另 外 ,其 他 域 的 应 用 服务 器 也 必须 信任 第 一 域 中 的 Kerberos 服务 器 。 

有 了 以 上 规则 ,我 们 可 以 用 图 6-10 来 描述 该 机 制 : 当 用 户 访问 其 他 域 的 服务 时 ,必须 
获得 其 他 域 中 该 服务 的 服务 授权 门票 .用 户 按照 通常 的 程序 与 本 地 TGS 交互 ,并 申请 获得 
远程 TGS( 另 一 个 域 的 TGS) 的 门票 授权 门票 。 客 户 端 可 以 向 远程 TGS 申请 远程 TGS 域 
中 服务 器 的 服务 授权 门票 。 

图 6-10 中 交换 的 消息 过 程 如 下 : 

(1) C™>AS: ID. | IDe。 || TS 

(2) AS-~C: ECK. ,LK || IDe。 || TS; || Lifetime; |‖ Tickete.]) 

(3) CTGS: TDigsrem || Ticketes || Authenticatorc 


110 计算 机 网 络 安全 


域 A 
Kerberos 


图 6-10” 跨 域 访 问 


(4) TGS—C: BR mirs [Ko | TD | FS, | Ticketoswn)) 
(Sy TS: 和 咱 Ticketimes | Authenticator。 

(6) TGSrem-~C， BK .was LR: TD | TS Ticket,w 
(7) CVrem: Ticketvem || Authenticator。 


送 往 远程 服务 器 (Vm ) 的 门票 表明 了 用 户 原 认 证 所 在 的 域 .服务 器 可 以 决定 是 否 接 收 
远程 请 求 。 


6.3.2 Kerberos 版 本 5 


Kerberos 版 本 5 对 版 本 4 存在 的 一 些 缺 陷 进 行 了 改进 : 

(1) 加 密 系统 依赖 性 。 版 本 4 使 用 DES, 因 此 , 它 依 赖 于 DES 的 强度 ,而 DES 的 安全 
性 一 直 受 到 人 们 的 质疑 ; 而 且 ,DES 还 有 出 口 限制 。 版 本 5 用 加 密 类 型 标记 密 文 , 使 得 可 以 
使 用 任何 加 密 技 术 。 加 密 密 钥 也 加 上 类 型 和 长 度 标记 ,人 允许 不 同 的 算法 使 用 相同 的 密 钥 。 

(2) Internet 协议 依赖 性 。 版 本 4 需要 使 用 IP 地 址 .不 支持 其 他 地 址 类 型 。 版 本 5 用 
类 型 和 长 度 标记 网 络 地 址 ,允许 使 用 任何 类 型 的 网 络 地 址 。 

(3) 消息 字 节 顺序 。 版 本 4 中 ,由 消息 的 发 送 者 用 标记 说 明 规 定 消息 的 字 节 顺序 ,而 不 
遵循 已 有 的 惯例 。 在 版 本 5 中 ,所 有 消息 结 都 遵循 抽象 语法 表示 (ASN. 1) 和 基本 编码 规则 
(BER) 的 规定 ,提供 一 个 明确 无 二 义 的 消息 字 节 顺序 。 

(4) 门票 的 生命 期 。 版 本 4 中 ,门票 的 生命 期 用 一 个 8 位 表示 ,每 单位 代表 5 分 钟 。 因 
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此 ,最 大 生命 期 为 2 X5 王 1280 分 钟 , 约 为 21 小 时 。 这 对 某 些 应 用 可 能 不 够 长 。 在 版 本 5 
中 ,门票 中 包含 了 精确 的 起 始 时 间 和 终止 时 间 ,允许 门票 拥有 任意 长 度 的 生命 期 。 

(5) 向 前 认证 。 在 版 本 4 中 ,不 允许 发 给 一 个 客户 端的 证 书 被 转发 到 其 他 主机 或 被 其 
他 用 户 进行 其 他 相关 操作 。 此 操作 是 指 服务 器 为 了 完成 客户 端 请 求 的 服务 而 请 求 其 他 服务 
器 协作 的 能 力 , 例 如 ,客户 端 申请 打印 服务 器 的 服务 ,而 打印 服务 器 需要 利用 客户 端 证 书 访 
问 文件 服务 器 得 到 客户 文件 。 版 本 5 提供 这 项 功能 。 

(6) 域 间 认证 。 版 本 4 中 ,N 个 域 的 互 操作 需要 N? 个 Kerberos-to-Kerberos 关系 。 版 
本 5 中 支持 一 种 需要 较 少 连接 的 方法 。 

(7) 宛 余 加 密 。 版 本 4 中 ,对 提供 给 客户 端的 门票 进行 两 次 加 密 ,第 一 次 使 用 的 是 目标 
服务 器 的 密 钥 ,第 二 次 使 用 的 是 客户 端 密 钥 。 版 本 5 取消 了 第 二 次 加 密 , 即 用 用 户 密 钥 进行 
的 加 密 , 因 为 第 二 次 加 密 并 不 是 必须 的 。 

(8) PCBC 加 密 。 版 本 4 加 密使 用 DES 的 非 标准 模式 PCBC, 此 种 模式 已 被 证 明 易 受 
交换 密码 块 攻击 。 版 本 5 提供 了 精确 的 完整 性 检查 机 制 , 并 能 够 用 标准 的 CBC 模式 加 密 。 

(9) 会 话 密 钥 。 版 本 4 中 ,每 张 门票 中 包含 一 个 会 话 密 钥 ,此 门票 被 多 次 用 来 访问 同一 
服务 器 ,因而 可 能 遭受 重 放 攻 击 。 在 版 本 5 中 ,客户 端 与 服务 器 可 以 协商 一 个 用 于 特定 连接 
的 子 会 话 密 钥 ,每 个 子 会 话 密 钥 仅 被 使 用 一 次 。 这 种 新 的 客户 端 访 问 方式 将 会 降低 重 放 攻 
击 的 机 会 。 

表 6-4 描述 了 版 本 5 的 基本 会 话 。 

表 6-4 Kerberos 版 本 5 消息 交换 
(a) 认证 服务 交换 : 获取 门票 授权 门票 
(1) A—>AS Options | IDA || Realma || ID,。 || Times || Noncei 
(2) AS>A Realma | IDA || Ticketw, || ECKa ,[SA || Times || Noncel || Realmiws || IDe。]) 
Ticketws = ECKe.,[Flags |‖ SA || Realma || IDA || ADA || Times]) 
(b) 服务 授权 门票 交换 : 获取 服务 授权 门票 
(3) A—>TGS Options || IDs || Times || Nonces || Tickete。 || AuthenticatorA 
(4) TGS>A RealmA | IDa | Tickets || ECSA ,LKas || Times || Nonces || Realms | IDs]) 
Ticketw: = E(Ktgs.[Flags | SA || Realma || IDa || ADa || Times]) 
Tickets= E(Ks.[Flags | Kas || Realms || IDA || ADA || Times]) 
Authenticatora = E(SA .[IDA || Realma || TS ]) 
(c) 客户 /服务 器 认证 交换 : 获取 服务 
(5) A—>B Options | Tickets |‖ AuthenticatorA 
(6) B-~A E(Kns, [TS; | Subkey || Seq#]) 
Tickets= E(Ks.[Flags | Kas || Realma || IDA | ADA || Times]) 
Authenticatora = E(Kas:[IDa || RealmA || TS; || Subkey || Seq#]) 


首先 考虑 认证 服务 交换 。 消 息 (1) 是 客户 端 请 求 门票 授权 门票 过 程 。 如 前 所 述 , 它 包括 
用 户 和 TGS 的 标识 ,新 增 的 元 素 包 括 : 

。 Realm: 标识 用 户 所 属 的 域 。 

。 Options: 用 于 请 求 在 返回 的 门票 中 设置 指定 的 标识 位 ,如 下 所 述 。 

。 Times: 用 于 客户 端 请 求 在 门票 中 设置 时 间 : 
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。 from: 请 求 门票 的 起 始 时 间 
。 till: 请 求 门票 的 过 期 时 间 
。 rtime: 请 求 till 更 新 时 间 
。 Nonce: 在 消息 (2) 中 重复 使 用 的 临时 交互 号 ,用 于 确保 应 答 是 刷新 的 , 且 未 被 攻击 
者 使 用 。 
消息 (2) 返 回 门票 授权 门票 ,标识 客户 端 信息 和 一 个 用 用 户口 令 形 成 的 密 钥 加 密 的 数据 
块 。 该 数据 块 包含 客户 端 和 TGS 间 使 用 的 会 话 密 钥 ,消息 (1) 中 设 定 的 时 间 和 临时 交互 号 
以 及 TGS 的 标识 信息 。 门 票 本 身 包含 会 话 密 钥 .客户 端的 标识 信息 、 需 要 的 时 间 值 .影响 门 
票 状 态 的 标志 和 选项 。 这 些 标志 为 版 本 5 带 来 的 一 些 新 功能 将 在 以 后 讨论 。 
比较 版 本 4 和 版 本 5 的 服务 授权 门票 交换 。 两 者 的 消息 (3) 均 包含 认证 码 ,门票 和 请 求 
服务 的 名 字 。 在 版 本 5 中 ,还 包括 与 消息 (1) 类 似 的 门票 请 求 的 时 间 、 选 项 和 一 个 临时 交互 
号 ; 认证 码 的 作用 与 版 本 4 中 相间 
消息 (4) 与 消息 (2) 结 构 相 同 ,返回 门票 和 一 些 客户 端 需要 的 信息 ,后 者 被 客户 端 和 
TGS 共享 的 会 话 密 钥 加 密 。 
最 后 ,版 本 5 对 客户 /服务 器 认证 交换 进行 了 一 些 改进 ,如 在 消息 (5) 中 ,客户 端 可 以 请 
求 选择 双向 认证 选项 。 认 证 也 增加 了 以 下 新 域 : 
。 Subkey: 客户 端 选择 一 个 子 密 钥 保护 某 一 特定 应 用 会 话 , 如 果 此 域 被 忽略 , 则 使 用 
门票 中 的 会 话 密 钥 天。, 。 
。 Sequence( 序 号 ) : 可 选 域 , 用 于 说 明 在 此 次 会 话 中 服务 器 向 客户 端 发 送 消息 的 序列 
号 。 将 消息 排序 可 以 防止 重 放 攻击 。 
如 果 请 求 双向 认证 , 则 服务 器 按 消息 (6) 应 答 。 该 消息 中 包含 从 认证 消息 中 得 到 的 时 间 
鹤 。 在 版 本 4 中 该 时 间 惟 被 加 1 ,而 在 版 本 5 中 ,由 于 攻击 者 不 可 能 在 不 知道 正确 密 钥 的 情 
况 下 创建 消息 (6) ,因此 不 需要 对 时 间 戳 进行 上 述 处 理 。 如 果 有 子 密 钥 域 存在 , 则 覆盖 消息 
(5) 中 相应 的 子 密 钥 域 。 而 选项 序列 号 则 说 明了 客户 端 使 用 的 起 始 序列 号 。 
1. 门票 标志 
版 本 5 门票 中 的 标志 域 支 持 许多 版 本 4 中 没有 的 功能 。 表 6-5 总 结 了 门票 中 可 能 包含 
的 标志 。 
表 6-5 Kerberos 版 本 5 标志 
INITIAL 按照 AS 协议 发 布 的 服务 授权 门票 ,而 不 是 基于 门票 授权 门票 发 布 的 
PRE-AUTHENT 在 初始 认证 中 ,客户 在 授予 门票 前 即 被 KDC 认证 
HW-AUTHENT 初始 认证 协议 要 求 使 用 带 名 客户 端 独占 硬件 资源 


RENEWABLE 告知 TGS 此 门票 可 用 于 获得 最 近 超时 门票 的 新 门票 

MAY-POSTDATE | 告知 TGS 事后 通知 的 门票 可 能 基于 门票 授权 门票 

POSTDATED 表示 该 门票 是 事后 通知 的 .终端 服务 器 可 以 检查 authtime 城 , 查 着 认证 发 生 的 时 间 
INVALID 不 合法 的 门票 在 使 用 前 必须 通过 KDC 使 之 合法 化 

PROXIABLE 告知 TGS 根据 当前 门票 可 以 发 放 给 不 同 网 络 地 址 新 的 服务 授权 门票 

PROXY 表示 该 门票 是 一 个 代理 


FORWARDABLE | 告知 TGS 根据 此 门票 授权 门票 可 以 发 放 给 不 同 网 络 地 址 新 的 门票 授权 门票 
FORWARDED 表示 该 门票 或 是 经 过 转发 的 门票 或 是 基于 转发 的 门票 授权 门票 认证 后 发 放 的 门票 
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标志 INITIAL 用 于 表示 门票 是 由 AS 发 放 的 ,而 不 是 由 TGS 发 放 的 。 当 客户 端 向 
TGS 申请 服务 授权 门票 时 ,必须 拥有 AS 发 放 的 门票 授权 门票 。 在 版 本 4 中 ,这 是 唯一 获得 
服务 授权 门票 的 方法 。 版 本 5 提供 了 一 种 可 以 直接 从 AS 获得 服务 授权 门票 的 手段 ,其 机 
制 是 : 一 个 服务 器 (如 口令 变更 服务 器 ) 希 望 知道 客户 端口 令 近 来 已 被 验证 。 

标志 PRE-AUTHENT 如 果 被 设置 , 则 表示 当 AS 接收 初始 请 求 [消息 (1)] 时 ,在 发 放 
门票 前 应 先 对 客户 端 进行 认证 ,其 预 认证 的 确切 格式 在 此 未 做 详细 说 明 。 例 如 ,MIT 实现 
版 本 5 时 ,加 密 的 时 间 截 默认 设置 为 预 认证 。 当 用 户 想 得 到 一 个 门票 时 , 它 将 一 个 带 有 临时 
交互 号 的 预 认证 块 . 版 本 号 和 时 间 惟 用 基于 客户 口令 的 密 钥 加 密 后 送 往 AS。AS 解密 后 ， 
如 果 预 认证 块 中 的 时 间 戳 不 在 允许 的 时 间 范 围 之 内 (时 间 间 隔 取决 于 时 钟 迁 移 和 网 络 延 
迟 ), 则 AS 不 返回 门票 授权 门票 。 另 一 种 可 能 性 是 使 用 智能 卡 (smart card) 生 成 不 断 变 化 
的 口令 ,将 其 包含 在 预 认证 消息 中 。 卡 所 生成 的 口令 基于 用 户口 令 , 但 经 过 了 一 定 的 变换 ， 
使 得 生成 的 口令 具有 随机 性 ,防止 了 简单 猜测 口令 的 攻击 。 如 果 使 用 了 智能 卡 或 其 他 相似 
设备 , 则 设置 HW-AUTHENT 标志 。 

当 门 票 的 生命 期 较 长 时 ,就 在 相当 一 段 时 间 内 存在 门票 被 攻击 者 窃取 并 使 用 的 威胁 。 

而 缩短 门票 的 生命 期 可 降低 这 种 威胁 ,主要 开销 将 在 于 获取 新 门票 .如 对 门票 授权 门票 而 
言 ,客户 端 可 以 存储 用 户 密 钥 (危险 性 较 大 ) 或 重复 向 用 户 询问 口令 来 解决 。 yaa 
是 使 用 可 重新 生成 的 门票 。 一 个 具有 标志 RENEWABLE 的 门票 中 包含 两 个 有 效 期 : 
是 此 特定 门票 的 有 效 期 , 男 一 个 是 最 大 许可 值 的 有 效 期 。 客 户 端 可 以 通过 将 门票 提交 eb 
TGS 申请 得 到 新 的 有 效 期 的 方法 获得 新 门票 。 如 果 这 个 新 的 有 效 期 在 最 大 有 效 期 的 范围 
之 内 ,TGS 即 发 放 一 个 具有 新 的 会 话 时 间 和 有 效 期 的 新 门票 。 这 种 机 制 的 好 处 在 于 ,TGS 
可 以 拒绝 更 新 已 报告 为 被 盗用 的 门票 。 

客户 端 可 请 求 AS 提供 一 个 具有 标志 MAY-POSTDATE 的 门票 授权 门票 。 客 户 端 可 
以 使 用 此 门票 从 TGS 申请 一 个 具有 标志 POSTDATED 或 INVALID 的 门票 ,然后 ,客户 端 
提交 合法 的 超时 门票 。 这 种 机 制 在 服务 器 上 运行 批 处 理 任务 和 经 常 需要 门票 时 特别 有 用 。 
客户 端 可 以 通过 一 次 会 话 得 到 一 组 具有 扩展 性 时 间 值 的 门票 。 但 第 一 个 门票 被 初始 化 为 非 
法 标志 , 当 执 行进 行 到 某 一 阶段 需要 某 一 特定 门票 时 ,客户 端 即将 相应 的 门票 合法 化 。 用 这 
种 方法 ,客户 端 就 不 再 需要 重复 使 用 授权 门票 去 获取 服务 授权 门票 。 

在 版 本 5 中 ,服务 器 可 以 作为 客户 端的 代理 ,获取 客户 端的 信任 和 权限 ,并 向 其 他 服务 
器 申请 服务 。 如 果 客 户 端 想 使 用 这 种 机 制 ,需要 申请 获得 一 个 带 有 PROXIABLE 标志 的 门 
票 授 权 门 票 。 当 此 门票 传 给 TGS 时 ,TGS 发 布 一 个 具有 不 同 网 络 地 址 的 服务 授权 门票 。 
该 门票 的 标志 PROXY 被 设置 ,接收 到 这 种 门票 的 应 用 可 以 接收 它 或 请 求 进一步 认证 ,以 提 
供 审 计 跟 踪 。 

代理 在 转发 时 有 一 些 限制 。 如 果 门 票 被 设置 为 FORWARDABLE.TGS 给 申请 者 发 放 
一 个 具有 不 同 网 址 和 FORWARDED 标志 的 门票 授权 门票 .于 是 此 门票 可 以 被 送 往 远程 
TGS。 这 使 得 用 户 端 在 不 需要 每 个 Kerberos 都 包含 与 其 他 各 不 同 域 中 的 Kerberos 共享 密 
钥 的 前 提 下 ,可 以 访问 不 同 域 的 服务 器 。 例 如 .各 域 具有 层次 结构 时 ,客户 端 可 以 向 上 遍历 
到 一 个 公共 结 点 后 再 向 下 到 达 目 标 域 。 每 一 步 都 是 转发 门票 授权 门票 到 图 中 的 下 一 
个 TGS。 
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6.4 X.509 认证 服务 


X. 509 是 由 国际 电信 联盟 (ITU-T) 制 定 的 关于 数字 证 书 结构 和 认证 协议 的 一 种 重要 标 
准 , 并 被 广泛 使 用 。S/MIME、IPSec、SSL/TLS 与 SET 等 都 使 用 了 X. 509 证 书 格式 。 

为 了 在 公用 网 络 中 提供 用 户 目 录 信 息 服务 ,ITU 于 1988 年 制定 了 X. 500 系列 标准 。 
目录 是 指 管理 用 户 信息 数据 库 的 服务 器 或 一 组 分 布 服 务 器 ,用户 信 息 包括 用 户 名 到 网 络 地 
址 的 映射 等 用 户 信息 或 其 他 属性 。 在 X. 500 系列 标准 中 ,X. 500 和 X. 509 是 安全 认证 系统 
的 核心 。X. 500 定义 了 一 种 命名 规则 :以 命名 树 来 确保 用 户 名 称 的 唯一 性 ; X. 509 则 定义 
了 使 用 X. 500 目录 服务 的 认证 服务 。X. 509 规定 了 实体 认证 过 程 中 广泛 使 用 的 证 书 语法 
和 数据 接口 , 称 之 为 证 书 。 每 个 证 书包 含 用 户 的 X. 500 名 称 和 公 钥 ,并 由 一 个 可 信和 的 认证 
中 心 用 私 钥 签名 ,以 确定 名 称 和 公 钥 的 绑 定 关 系 。 另 外 ,X. 509 还 定义 了 基于 公 钥 证 书 的 一 
个 认证 协议 。 

X. 509 是 基于 公 钥 密码 体制 和 数字 签名 的 服务 。 其 标准 中 并 未 规定 使 用 某 个 特定 的 算 
法 ,但 推荐 使 用 RSA; 其 数字 签名 需要 用 到 散 列 函数 ,但 并 没有 规定 具体 的 散 列 算法 。 

最 初 的 X. 509 版 本 公布 于 1988 年 ,版 本 3 的 建议 稿 1994 年 公布 ,在 1995 年 获得 批 
准 ,2000 年 被 再 次 修改 。 


6.4.1 证 书 


.509 的 核心 是 与 每 个 用 户 相 关 的 公 角 证书。 所 谓 证 书 就 是 一 种 经 过 签名 的 消息 ,用 
oo 这 些 用 户 证 书 由 一 些 可 信 的 认证 中 心 CCA) 创 建 
并 被 CA 或 用 户 放 入 目录 服务 器 中 。 目 录 服 务 器 本 身 不 创建 公 钥 和 证 书 , 仅 仅 为 用 户 获 得 
证 书 提供 一 种 简单 的 存 取 方式 。 如 果 用 户 A 校 验 一 个 证 书 链 , 则 A 称 为 校 验 者 ,被 校 验 公 
钥 的 拥有 者 称 为 当事人 。 校 验 者 通过 某 种 方法 证 实 为 可 信和 的 、 能 够 签署 证 书 的 公 钥 称 为 信 
任 锚 (trust anchor)。 在 一 个 可 校 验 的 证 书 链 中 ,第 一 张 证 书 就 是 由 信任 销 签署 的 , 即 某 
不 CA。 

1. 证 书 格式 
X. 509 证 书包 含 以 下 信息 : 
。 版 本 号 (Version) : 区 分 合法 证 书 的 不 同 版 本 。 目 前 定义 了 三 个 版 本 ,版 本 1 的 编号 

为 0, 版 本 2 的 编号 为 1. 版 本 3 的 编号 为 2。 

。 序列 号 (Serial number) : 一 个 整数 ,和 签发 该 证 书 的 CA 名 称 一 起 唯一 标识 该 证 书 。 

。 签名 算法 标识 CSignature algorithm identifier): 指定 证 书 中 计算 签名 的 算法 ,包括 
一 个 用 来 识别 算法 的 子 域 和 算法 的 可 选 参数 。 

。 签发 者 (Issuer name) : 创建 .签名 该 证 书 的 CA 的 X. 500 格式 名 字 。 

。 有 效 期 (Period of validity) : 包含 两 个 日 期 , 即 证 书 的 生效 日 期 和 终止 日 期 。 

。 证 书 主体 名 (Subject name) : 持 有 证 书 的 主体 的 X. 500 格式 名 字 , 证 明 此 主体 是 公 

钥 的 所 有 者 。 

。 证 书 主 体 的 公 钥 信息 CSubject's public-key information) : 主体 的 公 钥 以 及 将 被 使 用 
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的 算法 标识 , 带 有 相关 的 参数 。 
签发 者 唯一 标识 (Issuer unique identifier) : 版 本 2 和 版 本 3 中 可 选 的 域 , 用 于 唯一 
标识 认证 中 心 CA。 
证 书 主 体 唯一 标识 CSubject unique identifier) : 版 本 2 和 版 本 3 中 可 选 的 域 , 用 于 唯 
一 标识 证 书 主体 。 
。 扩展 (Extensions): 仅仅 出 现在 版 本 3 中 ,一 个 或 多 个 扩展 域 集 。 
签名 (Signature) : 覆盖 证 书 的 所 有 其 他 域 ,以 及 其 他 域 被 CA 私 钥 加 密 后 的 散 列 代 
码 , 以 及 签名 算法 标识 。 

X. 509 使 用 如 下 格式 定义 证 书 : 

CA¢A》=CA{V,SN,AI,CA,TA,A,Ap} 

其 中 : Y《X》 为 用 户 X 的 证 书 , 是 认证 中 心 Y 发 放 的 ; Y{1) 为 Y 签名 I, 包含 1 和 I 被 加 密 后 
的 散 列 代码 ; CA 用 它 的 私 钥 对 证 书签 名 ,如 果 用 户 知道 相应 的 公 钥 , 则 用 户 可 以 验证 CA 
签名 证 书 的 合法 性 ,这 是 一 种 典型 的 数字 签名 方法 。 

2. 证 书 获取 

CA 生成 的 用 户 证 书 具有 以 下 特点 : 

。 任何 可 以 访问 CA 公 钥 的 用 户 均 可 获得 证 书 中 的 用 户 公 钥 。 

。 只 有 CA 可 以 修改 证 书 。 

由 于 证 书 不 可 伪造 ,因此 证 书 可 以 存放 在 目录 中 而 不 需要 对 目录 进行 特别 保护 。 

如 果 只 有 一 个 CA, 所 有 用 户 都 属于 此 CA ,并 且 普 遍 信任 该 CA。 所 有 用 户 的 证 书 均 可 
存放 于 同一 个 目录 中 ,以 被 所 有 用 户 存 取 。 另 外 ,用 户 也 可 以 直接 将 其 证 书 传 给 其 他 用 户 。 
一 旦 用 户 B 获得 了 A 的 证 书 ,B 即 可 确信 用 A 的 公 钥 加 密 的 消息 是 安全 的 、 不 可 能 被 窃取 ， 
同时 ,用 A 的 私 钥 签名 的 消息 也 不 可 能 仿造 。 

实际 应 用 中 ,用 户 数 量 众多 ,期 望 所 有 用 户 从 同一 个 CA 获得 证 书 是 不 切实 际 的 。 因 
此 ,一 般 有 多 个 CA ,每 个 CA 给 其 用 户 群 提供 证 书 。 由 于 证 书 是 由 CA 签发 的 ,每 一 个 用 户 
都 需要 拥有 一 个 CA 的 公 钥 来 验证 其 签名 。 该 公 钥 必须 用 一 种 绝对 安全 的 方式 提供 给 每 个 
用 户 ,使 得 用 户 可 以 信任 该 证 书 。 

假设 存在 两 个 认证 机 构 X 和 Xs* ,用户 A 获得 了 认证 机 构 Xi 的 证 书 , 而 B 获得 了 认证 
机 构 X, 的 证 书 ,如 果 A 无 法 安全 地 获得 Xs 的 公 钥 , 则 由 Xs 发 放 的 B 的 证 书 对 A 而 言 就 
无 法 使 用 ,A 只 能 读 取 B 的 证 书 , 但 无 法 验证 其 签名 。 然 而 .如 果 两 个 CA 之 间 能 安全 地 交 
换 它 们 的 公 钥 , 则 A 可 以 通过 下 述 过 程 获得 B 的 公 钥 : 

(1) 从 目录 中 获得 由 X 签名 的 Xs 的 证 书 , 由 于 A 知道 X 的 公 钥 ,A 可 从 证 书 中 获得 
Xs。 的 公 钥 ,并 用 Xi 的 签名 来 验证 证 书 。 

(2) A 再 到 目录 中 获取 由 Xs 颁发 的 B 的 证 书 ,由 于 A 已 经 得 到 了 Xs 的 公 钥 ,A 即 可 
利用 它 验 证 签名 ,从 而 安全 地 获得 B 的 公 钥 。 

A 使 用 了 一 个 证 书 链 来 获得 B 的 公 钥 ,在 X. 509 中 ,该 链表 示 如 下 : 

XK X, )X,《 BY》 
同样 ,B 可 以 逆向 地 获得 A 的 公 钥 : 
X,.《 X1 XL A 


上 
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上 述 模式 并 不 仅仅 限于 两 个 证 书 , 对 长 度 为 N 的 CA 链 的 认证 过 程 可 表示 如 下 : 
又 《又 Xk Xs XNk BY 

在 这 种 情况 中 , 链 中 的 每 对 CA(X; .Xi+1) 必 须 互 相 发 放 证 书 。 

所 有 由 CA 发 放 给 CA 的 证 书 必须 放 在 一 个 目录 中 :用 户 必须 知道 如 何 找到 一 条 路 径 
获得 其 他 用 户 的 公 钥 证 书 。 在 X. 509 中 ,推荐 采用 层次 结构 放置 CA 证 书 , 以 利于 建立 强 
大 的 导航 机 制 。 

图 6-11 描述 了 X. 509 中 推荐 的 层次 结构 ,相连 的 圆圈 表示 CA 间 的 层次 结构 ,相连 的 
方 框 表示 每 个 CA 发 放 的 证 书 所 在 的 目录 ,每 个 CA 目录 入 口中 包含 两 种 证 书 。 


U<<V>> 
V<<U>> 


V<<Y>> 
Y<<V>> 


Yeer>> 
Z<<Y>> 
Z<<X>> 


人 


X<<C>> X<<A>> Z<<B>> | 


图 6-11 X.509 层次 结构 


*。 向 前 证 书 : 由 其 他 CA 发 给 X 的 证 书 。 
。， 向 后 证 书 : X 发 给 其 他 CA 的 证 书 。 
例如 ,用 户 A 可 以 通过 创建 一 条 到 B 的 路 径 获得 相关 证 书 : 
XW》WV》?VY》Y《Z》Z《B》 
当 A 获得 相关 证 书后 ,可 以 通过 顺序 展开 证 书 路 径 获 得 B 的 公 钥 .用 这 个 公 钥 ,A 可 将 
加 密 消 息 送 往 B, 如 果 A 想得到 B 返回 的 加 密 消 息 或 对 发 往 B 的 消息 签名 , 则 B 需要 按照 
下 述 证 书 路 径 获得 A 的 公 钥 : 
ZYYYE VYVE WW XX AY 
B 可 以 获得 目录 中 的 证 书 集 .或 A 可 在 它 发 给 B 的 初始 消息 中 将 其 包含 进去 。 
3. 证 书 撤销 
与 信用 卡 相似 , 每 一 个 证 书 都 有 一 个 有 效 期 。 通 常 . 新 的 证 书 会 在 旧 证 书 失效 前 发 放 。 
另外 ,还 可 能 由 于 以 下 原因 提前 撤回 证 书 : 
(1) 用 户 密 钥 被 认为 不 安全 。 
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(2) 用 户 不 再 信任 该 CA。 

(3) CA 证 书 被 认为 不 安全 。 

每 个 CA 必须 存储 一 张 证 书 撤销 列表 (Certificate Revocation List,CRL) ,用 于 列 出 所 有 被 
CA 撤销 但 还 未 到 期 的 证 书 , 包 括 发 给 用 户 和 其 他 CA 的 证 书 。CRL 也 应 被 放 在 目录 中 。 

X. 509 也 定义 了 CRL 的 格式 。X. 509 v2 的 CRL 包括 以 下 域 : 

@ 版 本 。 可 选 字 段 ,用 于 描述 CRL 版 本 ,为 整数 值 1, 指 明 是 CRL v2。 

@ 签名 算法 标识 。 与 证 书 中 的 “签名 算法 标识 ”相同 ,用 于 定义 计算 CRL 签名 的 算法 。 

@ 签发 者 名 称 。 与 证 书 中 的 “签名 者 名 称 ” 相 同 , 用 于 定义 签发 该 CRL 的 CA 的 
X. 500 名 称 。 

@ 本 次 更 新 。 指 明了 CRL 的 签发 时 间 。 

@@ 下 次 更 新 。 指 示 下 一 次 发 布 CRL 的 时 间 。 

@ 回收 证 书 。 列 出 了 所 有 已 经 撤销 的 证 书 。 每 一 个 已 撤销 证 书 都 包括 以 下 内 容 : 

。 用 户 证 书 。 包 含 该 撤销 证 书 的 序列 号 ,唯一 地 标识 该 撤销 证 书 。 

。 撤销 日 期 。 指 明 该 证 书 被 撤销 的 日 期 。 

。 CRL 条 目 扩展 。 可 选 字段 ,用 来 描述 各 种 可 选 信息 ,比如 证 书 撤销 理由 、 撤 销 证 书 

的 CA 名 称 等 。 

@ CRL 扩展 。 包 含 各 种 可 选 信息 ,例如 证 书 中 心 密 钥 标示 符 、 签 发 者 别名 .CRL 编号 、 
增 量 CRL 指示 符 等 。 

@ CRL 登记 项 扩展 。 包 括 原 因 代 码 ( 证 书 撤销 原因 )、 保 持 指令 代码 (指示 在 证 书 已 被 
存储 时 采取 的 动作 ) 、 无 效 日 期 (证 书 将 变 为 无 效 的 日 期 ) 和 证 书签 发 者 。 

@ CRL 签发 者 的 数字 签名 。 

当 一 个 用 户 在 一 个 消息 中 接收 了 一 个 证 书 , 用 户 必 须 确 定 该 证 书 是 否 已 被 撤销 。 用 户 
可 以 在 接 到 证 书 时 检查 目录 ,为 了 避免 目录 搜索 时 的 延迟 ,用户 可 以 将 证 书 和 CRL 绥 存 。 


6.4.2 认证 的 过 程 


X. 509 也 包含 三 种 可 选 的 认证 过 程 , 这 些 过 程 可 以 应 用 于 各 种 应 用 程序 。 三 种 方法 均 
采用 了 公 钥 签名 。 假 设 双方 知道 对 方 的 公 钥 ,可 通过 目录 服务 获得 证 书 或 证 书 由 初始 消息 
携带 。 

图 6-12 给 出 了 三 种 过 程 。 

1. 单 向 认证 

假设 用 户 A 发 起 到 B 的 通信 , 单 向 认证 指 只 需 B 验证 A 的 身份 ,而 A 不 需 验 证 B。 

令 A 和 B 的 公 钥 / 私 钥 对 分 别 为 (PUs ,PRA) 和 (CPUas ,PRas) , 单 向 认证 包含 一 个 从 用 户 
A 到 用 户 B 的 简单 信息 传递 .具体 认证 过 程 包括 以 下 步骤 : 

(1) A 产生 一 个 随机 会 话 密 钥 K, 和 一 个 临时 交互 号 ra, 向 B 发 送 以 下 消息 : 

A 一 B: IDA | PRaCra || TA | IDs) || ECPUs ,ra | Ta || &) 
其 中 ,tia 为 时 间 戳 ,一 般 由 两 个 日 期 组 成 : 消息 生成 时 间 和 有 效 时 间 。 时 间 戳 用 来 防止 消息 
的 延迟 传递 ; 临时 交互 号 ra 用 于 防止 重 放 攻击 .其 值 在 消息 的 起 止 时 间 之 内 是 唯一 的 ,这 
样 ,B 即 可 存储 临时 交互 号 直至 它 过 期 ,并 拒绝 接受 其 他 具有 相同 临时 交互 号 的 新 消息 ; 
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(人 ) IDA|IPRACAlITAIIIDB)IIECPUB: rallTAlIA) 


(a) 单 向 认证 


IDaelIPRaCAlITAIIIDe)IIECPUB, rAll7AID 


IDalIPRaBCrAllrAll7BlIIDA)IEAKrA, llrall7B) 


(b) 双向 认证 
IDAlIPRA(CrAllTAIIIDeJllECPUaB, rallTAIIA) 


IDaelIPRaeCrallzall7alIIDA)EArA, lirallTe) 


PRe(ra, |LIDA) 
(《c) 三 向 认证 
图 6-12 X.509 认证 过 程 


IDA 和 IDs 分 别 是 A 和 B 的 标识 ; PRa (ra | Ta IDs ) 代 表 A 的 签名 ; E(PUs .ra 上 | Ta | A)? 
则 代表 用 B 的 公 钥 加 密 。 

(2) B 收 到 消息 后 ,获取 A 的 X. 509 证 书 并 验证 其 有 效 性 ,从 而 得 到 A 的 公 钥 ,然后 验 
证 A 的 签名 和 消息 完整 性 。 验 证 时 间 惟 是否 为 当前 时 间 ,检查 临时 交互 号 是 否 被 重 放 。 解 
密 得 到 会 话 密 钥 。 

对 于 纯 认 证 而 言 , 消 息 被 用 做 简单 地 向 B 提供 证 书 。 消 息 也 可 以 包含 要 传送 的 信息 ， 
将 信息 放 在 签名 的 范围 内 ,保证 其 真实 性 和 完整 性 。 

2. 双向 认证 

双向 认证 是 进行 两 次 单 向 认证 ,不 仅 实 现 B 对 A 的 认证 ,而 且 实 现 了 A 对 B 认 证 。 具 
体 过 程 如 下 : 

(1) 和 单 向 认证 过 程 一 样 ,A 发 送 给 B 

A 一 B: IDA | PRa Cra | Ta | IDs) || EC(PUs ,ra 1 Ta | &) 

(2) B 对 A 的 消息 进行 验证 ,验证 过 程 同 单 向 认证 的 第 2 步 。 然 后 ,B 产生 另外 一 个 临 

时 交互 号 rs ,并 向 A 发 送 消 息 
B— A: IDs | PRa (ra | re | Ta | IDA) | Ex (ra | re | Fs 

EE 表示 使 用 会 话 密 钥 k 进行 加 密 。 

(3) A 收 到 消息 后 ,用 会 话 密 钥 加 密 得 到 rs |‖ rs | Ta, 并 与 自己 发 送 的 rs 相 比 对 ; 获 
取 B 的 证 书 并 验证 其 有 效 性 ,获得 B 的 公 钥 ,验证 B 的 签名 和 数据 完整 性 ; 验证 时 间 戳 Ts， 
并 检查 7B 。 

3. 三 向 认证 

三 向 认证 是 对 双向 认证 的 加 强 。 在 三 向 认证 中 . 当 A 与 BB 完成 了 双向 认证 中 的 两 条 消 
息 的 交换 ,A 再 向 B 发 送 一 条 消息 : 
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A 一 B: PRs(ra | IDA) 
此 消息 包含 签名 了 的 临时 交互 号 mm, 这 样 . 消 息 的 时 间 戳 就 不 用 被 检查 了 ,因为 双方 的 
临时 交互 号 均 被 回 送 给 了 对 方 ,各 方 可 以 使 用 回 送 的 临时 交互 号 来 防止 重 放 攻 击 。 这 种 方 
法 在 没有 同步 时 钟 时 使 用 。 


6.4.3 X.509 版 本 3 


X. 509 的 版 本 2 中 没有 将 设计 和 实践 当中 所 需要 的 某 些 信息 均 包含 进去 。 版 本 3 增加 
了 一 些 可 选 的 扩展 项 。 每 一 个 扩展 项 有 一 个 扩展 标识 ,一 个 危险 指示 和 一 个 扩展 值 。 和 危险 
指示 用 于 指出 该 扩展 项 是 否 能 安全 地 被 忽略 ,如 果 值 为 TRUE 且 实 现时 未 处 理 它 , 则 其 证 
书 将 会 被 当做 非法 的 证 书 。 
证 书 扩展 项 有 三 类 : 密 钥 和 策略 信息 、 证 书 主体 和 发 行商 属性 以 及 证 书 路 径 约 束 。 
1. 密 钥 和 策略 信息 
此 类 扩展 项 传递 的 是 与 证 书 主体 和 发 行商 密 钥 相关 的 附加 信息 ,以 及 证 书 策略 的 指示 
信息 。 一 个 证 书 策略 是 一 个 带 名 的 规则 集 , 在 普通 安全 级 别 上 描述 特定 团体 或 应 用 类 型 证 
书 的 使 用 范围 。 例 如 , 某 个 策略 可 用 于 电子 数据 交换 (EDI) 在 一 定价 格 范围 内 的 贸易 认证 。 
这 个 范围 包括 : 
。 授权 密 钥 标识 符 : 标识 用 于 验证 证 书 或 CRL 上 的 签名 的 公 钥 。 同 一 个 CA 的 不 同 
密 钥 得 以 区 分 ,该 字段 的 一 个 用 法 是 用 于 更 新 CA 密 钥 对 。 
。 主体 密 钥 标识 符 : 标识 被 证 实 了 的 公 钥 ,用 于 更 新 主体 的 密 钥 对 。 同 样 ,一 个 主体 
对 不 同 目的 的 不 同 证 书 可 以 拥有 许多 密 钥 对 (例如 ,数字 签名 和 加 密 密 钥 协议 ) 。 
。 密 钥 使 用 : 说 明 被 证 实 的 公 钥 的 使 用 范围 和 使 用 策略 。 可 以 包含 以 下 内 容 : 数字 签 
名 , 非 抵赖 、 密 钥 加 密 .数据 加 密 、 密 钥 一 致 性 .CA 证 书 的 签名 验证 和 CA 的 CRL 签 
名 验证 。 
。 私 钥 使 用 期 : 表明 与 公 钥 相 匹 配 的 私 钥 的 使 用 期 。 通 常 , 私 钥 的 使 用 期 与 公 钥 不 
同 。 例 如 ,在 数字 签名 密 钥 中 ,签名 私 钥 的 使 用 期 一 般 比 其 公 钥 短 。 
。 证 书 策略 : 证 书 可 以 在 应 用 多 种 策略 的 各 种 环境 中 使 用 。 该 扩展 项 中 列 出 了 证 书 
所 支持 的 策略 集 , 包 括 可 选 的 限定 信息 。 
。 策略 映射 : 仅 用 于 其 他 CA 发 给 CA 的 证 书 中 。 策 略 映射 允许 发 行 CA 将 其 一 个 或 
多 个 策略 等 同 于 主体 CA 域 中 的 某 个 策略 。 
2. 证 书 主体 和 发 行商 属性 
该 扩展 支持 证 书 主体 或 发 行商 以 可 变 的 形式 拥有 可 变 的 名 字 . 并 可 传递 证 书 主体 的 附 
加 信息 ,使 得 证 书 所 有 者 更 加 确信 证 书 主体 是 一 个 特定 的 人 或 实体 。 例 如 ,一些 信息 如 邮局 
地 址 、 公 司 位 置 或 一 些 图 片 。 
扩展 域 包括 : 
。 主体 可 选 名 字 : 包括 使 用 任何 格式 的 一 个 至 两 个 可 选 名 字 。 该 字段 对 特定 应 用 ,如 
电子 邮件 、.EDI、IPSec 等 使 用 自己 的 名 字形 式 非常 重要 。 
。 发 行商 可 选 名 字 : 包括 使 用 任何 格式 的 一 至 两 个 可 选 名 字 。 
。 主体 目录 属性 : 将 X. 500 目录 的 属性 值 转换 为 证 书 的 主体 所 需要 的 属性 值 。 
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3. 证 书 路 径 约 束 

该 扩展 项 允许 在 CA 或 其 他 CA 发 行 的 证 书 中 包含 限制 说 明 。 这 些 限制 信息 可 以 限制 
主体 CA 所 能 发 放 的 证 书 种 类 或 证 书 链 中 的 种 类 。 

扩展 域 包括 : 

。 基本 限制 : 标识 该 主体 是 否 可 作为 CA ,如 果 可 以 ,证 书 路 径 长 度 被 限制 。 

。 名 字 限 制 : 表示 证 书 路 径 中 的 所 有 后 续 证 书 的 主体 名 的 名 字 空 间 必 须 确定 。 

。 策略 限制 : 说 明 对 确定 的 证 书 策略 标识 的 限制 ,或 证 书 路 径 中 继承 的 策略 映射 的 

限制 。 


6.5 公 钥 基础 设施 


6.5.1 PKI 体系 结构 


简单 地 说 ,PKI 是 基于 公 钥 密码 技术 ,支持 公 钥 管理 ,提供 真实 性 ,保密 性 ,完整 性 以 及 
可 追究 性 安全 服务 ,具有 普 适 性 的 安全 基础 设施 。PKI 的 核心 技术 围绕 建立 在 公 钥 密码 算 
法 之 上 的 数字 证 书 的 申请 、 颁 发 .使 用 与 撤销 等 整个 生命 周期 进行 展开 ,主要 目的 就 是 用 来 
安全 ,便捷 、 高 效 地 分 发 公 钥 。 

PKI 技术 采用 数字 证 书 管理 用 户 公 钥 , 通 过 可 信 第 三 方 , 即 认证 中 心 CA, 把 用 户 公 钥 
和 用 户 的 身份 信息 ,如 名 称 、 电 子 邮件 地 址 等 , 绑 定 在 一 起 .产生 用 户 的 公 钥 证 书 。 从 广义 上 
讲 , 所 有 提供 公 钥 加 密 和 数字 签名 服务 的 系统 ,都 可 以 称 为 PKI。PKI 的 主要 目的 是 通过 管 
理 公 钥 证 书 , 为 用 户 建立 一 个 安全 的 网 络 环境 ,保证 网 络 上 信息 的 安全 传输 。IETF 的 PKI 
小 组 制订 了 一 系列 的 协议 ,定义 了 基于 X. 509 证 书 的 PKI 模型 框架 , 称 为 PKIX。PKIX 系 
列 协议 定义 了 证 书 在 Internet 上 的 使 用 方式 ,包括 证 书 的 生成 ,发 布 .获取 ,各 种 密 钥 产生 和 
分 发 的 机 制 , 以 及 实现 这 些 协 议 的 轮廓 结构 。 狭 义 的 PKI 一 般 指 PKIX。 

一 个 完整 的 PKI 应 用 系统 必须 具有 权威 认证 机 构 (CA) 数字 证 书库 、 密 钥 备 份 及 恢复 
系统 .证 书 作废 系统 .应 用 接口 (API) 等 基本 构成 部 分 ,如 图 6-13 所 示 。 构 建 PKI 也 将 围绕 


着 这 五 大 关键 元 素来 着 手 构建 。 
Ce 密 钥 备份 及 


应 用 接口 (APD 


图 6-13 ”PKI 体系 结构 
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。 认证 机 构 (CA): CA 是 PKI 的 核心 执行 机 构 , 是 PKI 的 主要 组 成 部 分 ,人 们 通常 称 
它 为 认证 中 心 。CA 是 数字 证 书生 成 .发 放 的 运行 实体 ,在 一 般 情况 下 也 是 证 书 撤销 
列表 (CRL) 的 发 布点 ,在 其 上 常常 运行 着 一 个 或 多 个 注册 机 构 (RA)。CA 必须 具备 
权威 性 的 特征 。 

。 数字 证 书库 : 证 书库 是 CA 颁发 证 书 和 撤销 证 书 的 集中 存放 地 ,可 供 公众 进行 开放 

式 查 询 。 一 般 来 说 .查询 的 目的 有 两 个 : 其 一 是 想得到 与 之 通信 实体 的 公 钥 ; 其 二 
是 要 验证 通信 对 方 的 证 书 是 否 已 进入 * 黑 名 单 ”。 此 外 .证 书库 还 提供 了 存 取证 书 撤 
销 列表 (CRL) 的 方法 。 

。 密 钥 备份 及 恢复 系统 : 如 果 用 户 丢 失 了 用 于 解密 数据 的 密 钥 , 则 数据 将 无 法 被 解 
密 , 这 将 造成 合法 数据 丢失 。 为 避免 这 种 情况 ,PKI 提供 备份 与 恢复 密 钥 的 机 制 。 
但 是 密 钥 的 备份 与 恢复 必须 由 可 信 的 机 构 来 完成 。 并 且 . 密 钥 备 份 与 恢复 只 能 针对 
解密 密 钥 ,签名 私 钥 为 确保 其 唯一 性 而 不 能 够 作 备份 。 

。 证 书 作废 系统 : 证 书 作废 处 理 系 统 是 PKI 的 一 个 必 备 的 组 件 。 证 书 有 效 期 以 内 也 

可 能 需要 作废 ,原因 可 能 是 密 钥 介质 丢失 或 用 户 身份 变更 等 。 在 PKI 体 系 中 ,作废 
证 书 一 般 通 过 将 证 书 列 入 作废 证 书 表 (CRL) 来 完成 。 通 常 ,系统 中 由 CA 负责 创建 
并 维护 一 张 及 时 更 新 的 CRL ,而 由 用 户 在 验证 证 书 时 负责 检查 该 证 书 是 否 在 CRL 
之 列 。 

。 应 用 接口 (APD : PKI 的 价值 在 于 使 用 户 能 够 方便 地 使 用 加 密 、 数 字 签名 等 安全 服 
务 ,因此 一 个 完整 的 PKI 必须 提供 良好 的 应 用 接口 系统 ,使 得 各 种 各 样 的 应 用 能 够 
以 安全 ,一致 . 可 信和 的 方式 与 PKI 交互 .确保 安全 网 络 环 境 的 完整 性 和 易 用 性 。 

PKI 的 优势 主要 表现 在 : 

(1) 采用 公开 密 钥 密码 技术 ,能 够 支持 可 公开 验证 并 无 法 仿冒 的 数字 签名 ,从 而 在 支持 
可 追究 的 服务 上 具有 不 可 替代 的 优势 。 

(2) 由 于 密码 技术 的 采用 .保护 机 密 性 是 PKI 最 得 天 独 厚 的 优点 。PKI 不 仅 能 够 为 相 
互 认 识 的 实体 之 间 提 供 机 密 性 服务 ,同时 也 可 以 为 陌生 的 用 户 之 间 的 通信 提供 保密 支持 。 

(3) 由 于 数字 证 书 可 以 由 用 户 独立 验证 ,不 需要 在 线 查 询 ,原理 上 能 够 保证 服务 范围 的 
无 限制 地 扩张 ,这 使 得 PKI 能够 成 为 一 种 服务 巨大 用 户 群 的 基础 设施 。 

(4) PKI 提供 了 证 书 的 撤销 机 制 , 从 而 使 得 其 应 用 领域 不 受 具体 应 用 的 限制 。 另 外 , 因 
为 有 撤销 技术 ,不 论 是 永远 不 变 的 身份 .还 是 经 常 变换 的 角色 .都 可 以 得 到 PKI 的 服务 而 不 
用 担心 被 窃 后 身份 或 角色 被 永远 作废 或 被 他 人 恶意 盗用 。 

(5) PKI 具有 极 强 的 互联 能 力 。 不 论 是 上 下 级 的 领导 关系 ,还 是 平等 的 第 三 方 信任 关 
系 ,PKI 都 能 够 按照 人 类 世界 的 信任 方式 进行 多 种 形式 的 互联 互通 ,从 而 使 PKI 能 够 很 好 
地 服务 于 符合 人 类 习惯 的 大 型 网 络 信息 系统 。 


6.5.2 PKIX 相关 协议 
PKIX 体系 中 定义 了 一 系列 的 协议 ,可 分 为 以 下 几 个 部 分 : 
1. PKIX 基础 协议 


PKIX 的 基础 协议 以 RFC 2459 和 RFC 3280 为 核心 ,定义 了 X. 509 v3 公 钥 证 书 和 
X. 509 v2 CRL 的 格式 .数据 结构 和 操作 等 .用 以 保证 PKI 基本 功能 的 实现 。 此 外 ,PKIX 还 
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在 RFC 2528、RFC 3039、RFC 3279 等 定义 了 基于 X. 509 v3 的 相关 算法 和 格式 等 ,以 加 强 
X. 509 v3 公 钥 证 书 和 X. 509 v2 CRL 在 各 应 用 系统 之 间 的 通用 性 。 

2. PKIX 管理 协议 

PKIX 体系 中 定义 了 一 系列 的 操作 ,它们 是 在 管理 协议 的 支持 下 进行 工作 的 。 管 理 协 
议 主要 完成 以 下 的 任务 : 

。 用 户 注 册 : 这 是 用 户 第 一 次 进行 认证 之 前 进行 的 活动 , 它 优 先 于 CA 为 用 户 颁 布 一 

个 或 多 个 证 书 。 这 个 进程 通常 包括 一 系列 的 在 线 和 离线 的 交互 过 程 。 

。 用 户 初始 化 : 在 用 户 进行 认证 之 前 ,必须 使 用 公 钥 和 一 些 其 他 来 自信 任 认 证 机 构 的 

确认 信息 (确认 认证 路 径 等 ) 进 行 初始 化 。 

。 认证: 在 这 个 进程 中 ,认证 机 构 通过 用 户 的 公 钥 向 用 户 提 供 一 个 数字 证 书 并 在 数字 

证 中 进行 保存 。 

。 密 钥 对 的 备份 和 恢复 : 密 钥 对 可 以 用 于 数字 签名 和 数据 加 解密 。 而 对 于 数据 加 解 
密 来 说 , 当 用 于 解密 的 私 钥 丢 失 时 ,必须 提供 机 制 来 恢复 解密 密 钥 ,这 对 于 保护 数据 
来 说 非常 重要 。 密 钥 的 丢失 通常 是 由 密 钥 遗 忘 .存储 器 损坏 等 原因 造成 的 。 可 以 通 
过 用 数字 签名 的 密 钥 认 证 后 来 恢复 加 解密 密 钥 。 

。 自动 的 密 钥 对 更 新 : 为 了 安全 原因 , 密 钥 有 其 一 定 的 生命 期 ,所 有 的 密 钥 对 都 需要 
经 常 更 新 。 

。 证 书 撤销 请 求 : 一 个 授权 用 户 可 以 向 认证 机 构 提 出 要 求 撤销 证 书 。 当 发 生 密 钥 汇 
露 、 从 属 关 系 变更 或 更 名 等 时 ,需要 提交 这 种 请 求 。 

。 交叉 认证 : 如 果 两 个 认证 机 构 之 间 要 交换 数据 , 则 可 以 通过 交叉 认证 来 建立 信任 关 
系 。 一 个 交叉 认证 证 书 中 包含 此 认证 机 构 用 来 发 布 证 书 的 数字 签名 。 

3. PKIX 安全 服务 和 权限 管理 的 相关 协议 

PKIX 中 安全 服务 和 权限 管理 的 相关 协议 主要 是 进一步 完善 和 扩展 PKI 安全 架构 的 功 
能 ,通过 RFC 3029、RFC 3161、RFC 3281 等 定义 。 

在 PKIX 中 ,不 可 抵赖 性 通过 数字 时 间 惟 DTS(Digital Time Stamp) 和 数据 有 效 性 验证 
服务 器 DVCS(Data Validation and Certification Server) 实 现 。 在 CA/RA 中 使 用 的 DTS， 
是 对 时 间 信 息 的 数字 签名 ,主要 用 于 确定 在 某 一 时 间 某 个 文件 确实 存在 或 者 确定 多 个 文件 
的 时 间 上 的 逻辑 关系 ,是 实现 不 可 抵赖 性 服务 的 核心 。DVCS 的 作用 则 是 验证 签名 文档 、 公 
钥 证 书 或 数据 存在 的 有 效 性 ,其 验证 声明 称 为 数据 有 效 性 证 书 。DVCS 是 一 个 可 信 第 三 番 ， 
是 用 来 实现 不 可 抵赖 性 服务 的 一 部 分 。 权 限 管理 通过 属性 证 书 来 实现 。 属 性 证 书 利用 属性 
和 属性 值 来 定义 每 个 证 书 主体 的 角色 、 权 限 等 信息 。 


6.5.3 PKI 信任 模型 


选择 正确 的 信任 模型 以 及 与 它 相 应 的 安全 级 别 是 非常 重要 的 ,同时 也 是 部 署 PKI 所 要 
做 的 较 早 和 基本 的 决策 之 一 。 所 谓 实 体 A 信任 B. 即 A 假定 实体 B 严格 地 按 A 所 期 望 的 
那样 行动 。 如 果 一 个 实体 认为 CA 能 够 建立 并 维持 一 个 准确 的 对 公 钥 属性 的 绑 定 , 则 他 信 
任 该 CA。 所 谓 信任 模型 .就 是 提供 用 户 双方 相互 信任 机 制 的 框架 ,是 PKI 系统 整个 网 络 结 
构 的 基础 。 
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信任 模型 主要 明确 回答 了 以 下 几 个 问题 : 

。 一 个 PKI 用 户 能 够 信任 的 证 书 是 怎样 被 确定 的 ? 
。 这 种 信任 是 怎样 建立 的 ? 

。 在 一 定 的 环境 下 ,这 种 信任 如 何 被 控制 ? 

1. 层次 模型 

层次 结构 可 以 被 描绘 为 一 棵 倒立 的 树 , 如 图 6-14 所 示 。 


CD 信任 锚 


@cA 


终端 实体 


国 面 面 


图 6-14 层次 模型 


在 这 棵 倒立 的 树 上 , 根 代表 一 个 对 整个 PKI 系统 的 所 有 实体 都 有 特别 意义 的 CA ,通常 
叫做 根 CA, 它 充当 信任 的 根 。 根 CA 认证 直接 连接 在 它 下 面 的 CA, 每 个 CA 都 认证 零 个 
或 多 个 直接 连接 在 它 下 面 的 CA, 倒数 第 二 层 的 CA 认证 终端 实体 。 在 这 种 模型 中 ,认证 方 
只 需 验 证 从 根 CA 到 认证 结 点 的 这 条 路 径 就 可 以 了 ,不 需要 建立 从 根 结 点 到 发 起 认证 方 的 
路 径 。 

2. 交叉 模型 


在 这 种 模型 中 ,如 果 没 有 命名 空间 的 限制 ,那么 任何 CA 都 可 以 对 其 他 的 CA 发 证 ,所 
以 这 种 结构 非常 适合 动态 变化 的 组 织 结构 ,但 是 在 构建 有 效 的 认证 路 径 时 ,很 难 在 网 中 确定 
一 个 CA 是 否 是 另 一 个 CA 的 适当 的 证 书 颁 发 者 。 


7 
ca 
@ 


国 终端 实体 
加 


图 6-15 交叉 模型 
因为 路 径 构 造 比 层次 结构 复杂 得 多 ,验证 时 需要 对 CA 发 布 的 证 书 进行 反复 的 比较 , 跨 
越 很 多 结 点 的 信任 路 径 会 被 认为 是 不 可 信 的 。 
3. 混合 模型 
混合 模型 是 将 层次 结构 和 交叉 结构 相 混合 而 得 到 的 模型 。 当 独立 的 组 织 或 企业 建立 了 
各 自 的 层次 结构 ,同时 又 想 要 相互 认证 , 则 要 将 完全 的 交叉 认证 加 到 层次 模型 中 ,产生 这 种 
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混合 模型 。 如 图 6-16 示 。 混 合 模型 的 特点 是 : 存在 多 个 根 CA, 任 意 两 个 根 CA 间 都 要 交 
叉 认证 ; 每 个 层次 结构 都 在 根 级 有 一 个 单一 的 交叉 证 书 通 向 另 一 个 层次 结构 。 


〇 各 信任 端的 根 节点 


4. 桥 CA 模型 

混合 模式 对 于 小 规模 的 层次 模型 间 的 交叉 认证 比较 实用 ,规模 一 大 , 根 间 的 交叉 认证 就 
会 变 得 相当 庞大 ,考虑 到 这 种 局 限 , 所 以 产生 了 桥 CA 结构 ,这 种 结构 已 被 美国 联邦 PKI 所 
采用 。 


6-17 桥 模型 


桥 CA 模型 实现 了 一 个 集中 的 交叉 认证 中 心 , 它 的 目的 是 提供 交叉 证 书 , 而 不 是 作为 证 
书 路 径 的 根 。 对 于 各 个 异 构 模 式 的 根 结 点 来 说 . 它 是 它们 的 同 级 ,而 不 是 上 级 。 当 一 个 企业 
与 桥 CA 建立 了 交叉 证 书 , 那 么 ,他 就 获得 了 与 那些 已 经 和 桥 CA 交叉 认证 的 企业 进行 信任 
路 径 构建 的 能 力 。 

5. 信任 链 模 型 

这 种 模型 从 根本 上 讲 类 似 于 层次 结构 模型 ,但 它 同 时 拥有 多 个 根 CA, 这 些 可 信和 的 根 
CA 被 预先 提供 给 客户 端 系 统 , 为 了 成 功 地 被 验证 ,证 书 一 定 要 直接 或 间接 地 与 这 些 可 信 根 
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CA 连接 ,我 们 所 用 的 浏览 器 中 的 证 书 就 是 这 种 模型 的 应 用 。 
A Trusted CA List BD 


6-18 ”信任 链 模型 


由 于 不 需要 依赖 目录 服务 器 ,这 种 模型 在 方便 性 和 简单 互 操作 性 方面 有 明显 的 优势 ,但 
是 也 存在 许多 安全 隐患 。 例 如 ,因为 浏览 器 的 用 户 自动 地 信任 预 安装 的 所 有 公 钥 ,所 以 即使 
这 些 根 CA 中 有 一 个 是 “ 坏 的 "(例如 ,该 CA 从 没有 认真 核实 被 认证 的 实体 ) ,安全 性 将 被 完 
全 破坏 。 另 外 一 个 潜在 的 安全 隐患 是 没有 实用 的 机 制 来 撤销 嵌入 到 浏览 器 中 的 根 密 钥 。 
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随 着 Internet 的 不 断 普及 ,各 种 应 用 对 网 络 安全 提出 了 不 同 的 要 求 ,因此 人 们 设计 了 不 
同 的 安全 机 制 。 比 如 各 种 与 具体 应 用 相关 的 安全 机 制 ,包括 电子 邮件 (如 S/MIME、PGP 
等 ) 客户 /服务 器 (如 Kerberos)、Web 访问 (如 SSL) 等 。 还 有 与 协议 相关 ,在 不 同 的 网 络 协 
议 层 次 实现 的 安全 机 制 , 如 信息 包 过 滤器 .SOCKS 协议 服务 器 、 链 路 级 网 关 、 传 输 代 理 、 各 
种 应 用 防火 墙 等 。 

事实 上 ,可 以 在 Internet 上 的 任何 层次 实现 安全 机 制 , 各 层 机 制 有 不 同 的 特点 。 但 用 户 
的 一 些 安全 要 求 跨越 多 个 协议 层 ; 此 外 .有 的 应 用 程序 有 安全 机 制 ,有 的 则 没有 。 在 TCP/IP 
协议 分 层 模 型 中 ,IP 层 是 可 能 实现 端 到 端 安全 通信 的 最 底层 。 通 过 在 IP 层 上 实现 安全 性 ， 
不 仅 可 以 保护 各 种 带 安全 机 制 的 应 用 程序 ,而且 可 以 保护 许多 无 安全 机 制 的 应 用 。 典 型 地 ， 
IP 协议 实现 在 操作 系统 中 。 因 此 ,在 IP 层 实 现 安全 功能 ,可 以 不 必修 改 应 用 程序 。 

IP 级 安全 性 包括 3 个 方面 的 内 容 : 认证 ,保密 和 密 钥 管理 。 认 证 机 制 确保 收 到 的 IP 包 
是 从 包头 标识 的 源 端 发 出 ,还 要 确保 该 包 在 传输 过 程 中 的 完整 性 。 保 密 性 是 将 报 文 加 密 后 
传送 ,防止 第 三 方 的 窃听 。 密 钥 管理 机 制 与 密 钥 的 安全 交换 有 关 。 

互联 网 工程 任务 组 (IETF) 于 1998 年 11 颁布 了 一 套 开 放 标 准 网 络 安全 协议 : IP 层 安 
全 标准 IPSec(IP Security) ,其 目标 是 为 IPv4 和 IPv6 提供 具有 较 强 的 互 操作 能 力 、 高 质量 
和 基于 加 密 的 安全 。IPSec 将 密码 技术 应 用 在 网 络 层 ,提供 端 对 端 通信 数据 的 私有 性 、 完 整 
性 、 真 实 性 和 防 重 放 攻 击 等 安全 服务 。IPSec 对 于 IPv4 是 可 选 的 ,对 于 IPv6 是 强制 性 的 。 


7.1 IPSec 概述 


IPSec 设计 目的 是 以 安全 的 方式 使 用 TCP/IP 进行 通信 ,其 设计 思想 是 在 操作 系统 内 
部 实现 安全 功能 ,在 不 需要 修改 应 用 程序 的 前 提 下 ,为 多 个 应 用 提供 安全 保护 。 它 通过 运用 
现代 密码 学 实现 了 IP 层 的 安全 服务 ,提供 在 LAN、WAN 和 互联 网 中 安全 通信 的 能 力 。 

1. IPSec 的 主要 用 途 

(1) 一 个 组 织 的 各 分 支 机 构 通 过 互联 网 安全 互联 。 一 个 大 的 组 织 或 企业 可 以 在 互联 网 
和 公用 WAN 上 建立 安全 的 虚拟 专用 网 ,在 公众 网 络 上 开展 自己 的 业务 ,减少 了 对 专用 网 络 
的 需求 ,节省 了 开销 和 网 络 管理 费用 。 

(2) 用 户 远程 安全 访问 互联 网 。 如 果 一 个 用 户 使 用 了 IP 安全 协议 的 终端 , 则 用 户 可 以 通 
过 本 地 访问 互联 网 服务 提供 商 (ISP) ,以 获得 对 公司 网 络 的 安全 访问 ,减少 了 远程 通信 的 费用 。 

(3) 与 合作 者 建立 外 联网 和 内 联网 联系 。 使 用 IPSec 可 以 与 其 他 组 织 进行 安全 通信 ， 
确保 认证 ,保密 并 提供 密 钥 交换 机 制 。 

(4) 加 强 电子 商务 的 安全 性 。 虽 然 一 些 Web 和 电子 商务 应 用 程序 是 建立 在 安全 协议 
之 上 的 ,但 使 用 IPSec 能 加 强 其 安全 性 。 


第 7 章 IP 安 全 127 


IPSec 能 支持 各 种 应 用 的 原理 在 于 它 可 以 在 IP 层 实现 加 密 和 (或 ) 认 证 功能 ,这 样 就 可 
以 在 不 修改 应 用 程序 的 前 提 下 保护 所 有 的 分 布 式 应 用 .包括 远程 登录 、 电 子 邮 件 、 文 件 传 输 
和 Web 访问 等 。 

IPSec 通过 多 种 手段 提供 了 IP 层 安全 服务 : 允许 用 户 选择 所 需 安 全 协议 、 人 允许 用 户 选 
择 加 密 和 认证 算法 、 人 允许 用 户 选 择 所 需 的 密码 算法 的 密 钥 。IPSec 可 以 安装 在 路 由 器 或 主 
机 上 ,车 IPSec 装 在 路 由 器 上 , 则 可 在 不 安全 的 Internet 上 提供 一 个 安全 的 通道 ,若是 装 在 
主机 上 , 则 能 提供 主机 端 对 端的 安全 性 。 

2. IPSec 的 特点 

(1) 当 在 防火 墙 或 路 由 器 中 实现 IPSec 时 ,IPSec 提供 了 强大 的 安全 性 ,能 够 应 用 到 所 
有 穿越 边界 的 数据 通信 量 上 。 而 在 一 个 公司 或 组 织 内 部 的 通信 量 不 会 引起 与 安全 有 关 的 处 
理 的 负荷 。 

(2) IPSec 实现 在 传输 层 以 下 ,因此 对 于 应 用 程序 和 用 户 都 是 透明 的 。 所 有 用 户 计算 机 
或 服务 器 系统 中 的 软件 都 不 必 加 以 修改 ; 也 没有 必要 对 用 户 进行 安全 培训 ,给 每 个 用 户 下 
发 密 钥 并 且 在 用 户 离开 组 织 时 取消 其 密 钥 。 

(3) 如 果 需 要 ,IPSec 可 以 为 单个 用 户 提 供 安全 性 。 这 对 于 不 在 本 地 的 工作 者 以 及 在 一 
个 组 织 内 部 为 敏感 应 用 建立 安全 的 虚拟 子 网 是 非常 有 用 的 。 

(4) IPSec 独立 于 鉴别 和 加 密 算法 ,在 一 个 基本 框架 上 可 使 用 不 同 的 鉴别 和 加 密 模 块 以 
满足 不 同 的 安全 需要 ,如 果 某 个 算法 被 破解 或 者 被 更 好 的 算法 代替 ,可 以 及 时 替换 该 算法 而 
不 影响 其 他 模块 的 实现 ; 在 实现 了 IP 安全 机 制 的 系统 中 ,协议 规定 了 必须 实现 的 几 种 算 
法 ,因此 可 以 保证 全 球 范 围 内 的 互 操作 人 性。 

(5) 在 IP 协议 的 实现 中 ,对 IP 报头 中 不 能 处 理 的 选项 可 以 不 加 以 处 理 , 而 不 是 作为 异 
常 处 理 , 所 以 实现 了 某 种 IP 协议 安全 机 制 的 IP 包 可 以 通过 未 实现 这 种 安全 机 制 的 路 由 器 。 

除了 支持 终端 用 户 和 保护 上 述 系 统 和 网 络 外 ,IPSec 在 互联 网 的 路 由 结构 中 扮演 了 一 
个 非常 重要 的 角色 。IPSec 可 确保 : 

。 路 由 广播 (一 个 新 的 路 由 器 公告 它 的 存在 ) 来 自 于 授权 路 由 器 。 

。 邻居 广播 (路 由 器 寻找 建立 或 维护 与 其 他 路 由 区 域 中 路 由 器 的 相 邻 关系 ) 来 源 于 授 

权 路 由 器 。 

。 重 定向 报 文 来 源 于 发 送 包 的 初始 路 由 器 。 

。 路 由 更 新 无 法 伪造 。 

没有 以 上 安全 措施 ,攻击 者 可 以 中 断 通信 或 转发 某 些 流量 。 路 由 协议 如 OSPF 必须 在 
用 IPSec 安全 协议 的 路 由 器 上 运行 。 


7.2 IPSec 安全 体系 结构 


IPSec 规范 相当 复杂 ,因为 它 不 是 一 个 单独 的 协议 。 它 给 出 了 应 用 于 IP 层 上 网 络 数 据 
安全 的 一 整套 体系 结构 ,包括 认证 头 (Authentication Header. AH) 协 议 、 封 装 安 全 载荷 
(Encapsulating Security Payload,ESP) 协 议 、 密 钥 管 理 (Internet Key Exchange,IKE) 协 议 
和 用 于 网 络 认 证 和 加 密 的 一 些 算法 等 。 
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7.2.1 IPSec 构成 


IPSec 有 许多 文档 ,整个 文档 分 为 7 部 分 ,如 图 7-1 所 示 。 


体系 结构 
1 
ESP 协 议 AH 协 议 
J 


1 了 


I 加 密 算法 IT 认证 算法 


密 钥 管理 


图 7-1 IPSec 文档 


(1) 体系 结构 。 包 括 IPSec 的 一 般 概念 、 安 全 需求 .定义 和 机 制 。 

(2) ESP。 包 括 数据 包 格 式 和 使 用 ESP 加 密 / 认 证 数据 包 的 一 些 相 关 约 定 。 

(3) AH。 包 括 数据 包 格 式 和 使 用 AH 认证 数据 包 的 一 些 相 关 约 定 。 

(4) 加 密 算 法 。 一 系列 描述 各 种 ESP 中 使 用 的 加 密 算 法 的 文档 。 这 些 文档 描述 了 每 
一 种 算法 的 密 钥 长 度 和 强度 规范 ,每 一 种 算法 的 可 用 性 能 评估 ,加密 算法 在 ESP 中 如 何 使 
用 的 一 般 信息 ,加密 算 法 的 特性 等 。 

(5) 认证 算法 。 一 系列 描述 如 何 把 各 种 认证 算法 应 用 于 AH 和 ESP 的 文档 。 这 些 文 
档 规定 了 操作 参数 规范 (如 轮 数 .输入 输出 分 组 格式 等 ), 认 证 算法 的 填充 要 求 , 操 作 的 可 选 
参数 /方法 的 标志 ,算法 的 默认 值 域 与 强制 值 域 .算法 的 认证 数据 比较 条 件 等 。 

(6) 密 钥 管理 。 描 述 密 钥 管 理 模式 的 文档 。 当 前 的 密 钥 管理 提供 了 Oakley 和 
ISAKMP。 

(7) 解释 域 。 这 个 文档 包括 与 其 他 文档 相关 的 一 些 参数 ,如 被 认可 的 加 密 、 认 证 算法 标 
识 和 诸如 密 钥 生存 周期 之 类 的 运行 参数 。 

IPSec 的 安全 功能 主要 通过 IP 认证 头 AH 协议 以 及 ESP 协议 实现 。AH 提供 数据 的 
完整 性 、 真 实 性 和 防 重 播 攻击 等 安全 服务 ,但 不 包括 机 密 性 。 而 ESP 除了 实现 AH 所 实现 
的 功能 外 ,还 可 以 实现 数据 的 机 密 性 。AH 和 ESP 可 以 分 开 使 用 或 一 起 使 用 。 完 整 的 
IPSec 还 应 包括 AH 和 ESP 中 所 使 用 密 钥 的 交换 和 管 


理 , 也 就 是 IKE 协议 。IKE 用 于 动态 地 认证 IPSec 参与 
各 方 的 身份 。IPSec 主要 构成 组 件 如 图 7-2 所 示 。 
AH 


IPSec 规范 中 要 求 强制 实现 的 加 密 算 法 是 CBC 模式 | 
的 DES 和 NULL 算法 ,而 认证 算法 是 HMAC-MD5、 二 1 
HMAC-SHA-1 和 NULL 认证 算法 。NULL 加 密 和 认 认证 算法 加 密 算法 


证 分 别 是 不 加 密 和 不 认证 。 7-2 IPSec 组 件 
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7.2.2 IPSec 服务 


IPSec 提供 的 服务 如 下 : 

。 访问 控制 ; 

。 无 连接 完整 性 ; 

。 数据 源 认 证 ; 

。 抗 重 放 攻 击 ; 

。 保密 性 (加 密 ); 

。 有 限 的 通信 和 量 机 密 性 。 

表 7-1 描述 了 AH 和 ESP 协议 所 支持 的 服务 。 对 ESP 而 言 , 可 分 为 支持 和 不 支持 认证 
两 种 。AH 和 ESP 均 支 持 基 于 分 布 密 钥 的 访问 控制 。 流 量 保密 性 则 与 安全 协议 相关 。 


表 7-1 IPSec 服务 


服 务 AH ESP( 仅 包括 加 密 ) ESP( 加 密 十 认证 ) 
访问 控制 V 
无 连接 完整 性 
数据 源 认 证 
抗 重 放 攻击 
保密 性 
有 限 的 通信 量 机 密 性 


[| 人 | 二 


| 
| 


7.2.3 安全 关联 


在 IP 的 认证 和 保密 机 制 中 出 现 的 一 个 核心 概念 是 安全 关联 (SA)。SA 是 IPSec 的 基 
础 ,是 出 现在 IPSec 中 认证 和 保密 机 制 的 关键 概念 。 一 个 安全 关联 是 发 送 方 和 接收 方 之 间 
的 受到 密码 技术 保护 的 单 向 关系 .该 关联 对 所 携带 的 通信 流量 提供 安全 服务 : 要 么 对 通信 
实体 收 到 的 IP 数据 包 进 行 “ 进 入 ”保护 .要么 对 实体 外 发 的 数据 包 进 行 “ 流 出 保护。 如 果 需 
要 双向 安全 交换 , 则 需要 建立 两 个 安全 关联 ,一 个 用 于 发 送 数据 ,一 个 用 于 接收 数据 。 安 全 
服务 可 以 由 AH 或 ESP 提供 .但 不 能 两 者 都 提供 。 

一 个 安全 关联 由 三 个 参数 唯一 确定 : 

(1) 安全 参数 索引 (SPI) 。 一 个 与 SA 相关 的 位 串 , 仅 在 本 地 有 意义 。 这 个 参数 被 分 配 
给 每 一 个 SA ,并 且 每 一 个 SA 都 通过 SPI 进行 标识 。 发 送 方 把 这 个 参数 放置 在 每 一 个 流出 
数据 包 的 SPI 域 中 .SPI 由 AH 和 ESP 携带 ,使 得 接收 系统 能 选择 合适 的 SA 处 理 接收 包 。 
SPI 并 非 全 局 指定 ,因此 SPI 要 与 目标 IP 地 址 、 安 全 协议 标识 一 起 来 唯一 标识 一 个 SA。 

(2) 目标 IP 地址。 目前 IPSec SA 管理 机 制 中 仅仅 允许 单 播 地 址 。 所 以 这 个 地 址 表示 
SA 的 目的 端点 地 址 ,可 以 是 用 户 终 端 系 统 、 防 火 墙 或 路 由 器 。 它 决定 了 关联 方向 。 

(3) 安全 协议 标识 。 标 识 该 关联 是 一 个 AH 安全 关联 或 ESP 安全 关联 。 

处 理 与 SA 有 关 的 流量 时 有 两 个 数据 库 . 即 安全 关联 数据 库 (Security Association 
Database.,SAD) 和 安全 策略 数据 库 (Security Policy Database.SPD)。SAD 包含 了 与 每 一 个 
安全 关联 相 联 系 的 参数 .SPD 则 指定 了 主机 或 网 关 的 所 有 IP 流量 的 流入 和 流出 分 配 策略 。 
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1. 安全 关联 数据 库 
实现 IPSec 的 系统 需要 维护 一 个 SAD. 该 数据 库 维护 保障 IP 数据 包 安 全 的 SA 记录 ， 
每 一 个 SA 都 在 SAD 中 有 一 个 记录 。 一 个 SA 记录 通常 包括 以 下 信息 : 
。 序列 号 : 以 AH 或 ESP 报头 中 32 位 二 进 制 值 表示 。 
。 序列 号 溢出 标志 : 标志 序列 号 计数 器 是 否 溢出 .生成 审核 事件 ,以 防止 溢出 IP 数据 
包 的 传送 。 
。 防 重 放 窗口 : 用 于 判断 收 到 的 一 个 AH 或 ESP 数据 包 是 否 是 重 放 。 
。 AH 信息 : 认证 算法 、 密 钥 、 密 钥 生 存 期 和 AH 的 相关 参数 (AH 必须 实现 ) 。 
。 ESP 信息 : 加 密 和 认证 算法 、 密 钥 、 初 始 值 、 密 钥 生 存 期 和 ESP 的 相关 参数 (ESP 必 
须 实现 )。 
。 SA 有 效 期 : 一 个 特定 的 时 间 间 隔 或 字 节 计数 。 超 过 此 有 效 期 后 ,必须 终止 或 由 一 
个 新 的 SA 替代 。 
。 IPSec 协议 模式 : 隧道 模式 或 传输 模式 。 
当 需 要 向 某 个 IP 目标 X 发 送 数 据 包 ,发 送 方 在 安全 关联 数据 库 中 查询 如 何 向 目标 X 
发 送 数 据 的 信息 ,这 些 信息 包括 SPI、 密 钥 .算法 .序列 号 等 。 当 接收 到 一 个 IP 数据 包 , 该 数 
据 包 中 的 SPI 用 于 在 安全 关联 数据 库 中 查询 相应 记录 ,该 记录 会 告诉 接收 方 应 当 使 用 哪个 
密 钥 .哪个 序列 号 来 处 理 该 数据 包 。 
2. 安全 策略 数据 库 
IPSec 为 用 户 提供 多 种 方式 在 IP 通信 中 实现 IPSec 服务 。SA 可 以 根据 用 户 的 意愿 进 
行 配置 ,用 户 可 以 选择 何 种 类 型 的 数据 包 应 该 被 丢弃 、 何 种 类 型 的 数据 包 可 以 在 不 受 IPSec 
保护 的 情形 下 被 转发 或 接收 、 是 否 对 数据 包 进 行 加 密 或 (和 ) 完 整 性 保护 等 。 并且,IPSec 对 
需要 IPSec 保护 的 流量 和 不 需要 IPSec 保护 的 流量 进行 大 粒度 区 分 。 
确定 某 一 IP 流量 与 特定 SA 的 相关 性 (或 在 不 需要 IPSec 时 无 SA) ,是 通过 SPD 实现 
的 。SPD 是 SA 处 理 的 基本 元 素 , 它 指定 了 为 IP 数据 包 提供 什么 服务 以 及 以 什么 方式 提供 
服务 。SPD 包含 一 张 有 序 表 ,该 表 记 录 多 个 策略 项 ,每 一 策略 项 由 一 个 或 多 个 选择 子 确定 ， 
而 这 些 选择 子 定义 了 该 策略 项 控制 的 所 有 IP 流量 。 实 际 上 .这 些 选择 子 过 滤 输 出 流量 ,并 
将 它们 映射 到 某 个 特定 的 SA。 每 个 IP 包 的 输出 过 程 遵守 如 下 过 程 : 
(1) 在 SPD 中 ,比较 包 中 相应 域 的 值 (选择 子 域 ) ,寻找 匹配 的 SPD 入 口 ,可 能 指向 零 个 
或 多 个 SA。 
(2) 如 果 该 包 存 在 SA , 则 选 定 SA 和 其 关联 的 SPI。 
(3) 执行 所 需 的 IPSec 处 理 ( 如 AH 或 ESP 处 理 ) 。 
SPD 入 口 由 以 下 选择 子 域 决定 : 
。 目的 IP 地址: 可 以 是 单一 IP 地 址 一 组 或 一 定 范围 的 地 址 和 地 址 掩 码 。 后 两 者 要 
求 多 个 目的 系统 共享 相同 的 SA( 例 如 ,位 于 防火 墙 之 后 )。 
*。 源 IP 地 址 : 可 以 是 单一 IP 地址、 一 组 或 一 定 范围 的 地 址 和 地 址 掩 码 。 后 两 者 要 求 
多 个 源 系统 共享 相同 的 SA( 例 如 ,位 于 防火 墙 之 后 )。 
。 用 户 标 识 : 来 自 操作 系统 的 用 户 标 识 。 用 户 操 作 系 统 提供 该 标识 ,而 不 是 IP 或 上 层 
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。 数据 敏感 性 级 别 : 用 于 系统 提供 信息 流 安全 级 别 ( 如 秘密 或 未 分 类 )。 

。 传输 层 协议 : 从 IPv4 或 IPv6 的 邻接 头 域 中 获得 ,可 以 是 单个 协议 号 ,也 可 以 是 一 组 
或 一 定 范 围 的 协议 号 。 

。 源 端口 和 目的 端口 : 可 以 是 单个 TCP 或 UDP 端口 一 组 端口 和 端口 通配符 。 


7.2.4 IPSec 工作 模式 


IPSec 的 安全 功能 主要 通过 IP 认证 头 AH 协议 以 及 护 封 装 安全 载荷 ESP 协议 实现 。 
AH 和 ESP 均 支 持 两 种 模式 : 传输 模式 和 隧道 模式 ,如 图 7-3 所 示 。 


原始 IP 的 包 | IP 头 | TCP 头 | 数据 | 


WE 
ewido IP 头 | ipsec 头 | TCP 头 | 数据 


道 模 式 受 
生地 号 妥 「 新 下 天 IPSec 天 人 JRIP 天 人 TCF [ 


图 7-3 IPSec 工作 模式 


1. 传输 模式 

传输 模式 主要 为 直接 运行 在 IP 层 之 上 的 协议 ,如 TCP、UDP 和 ICMP ,提供 安全 保护 ， 
一 般 用 于 在 两 台 主 机 之 间 的 端 到 端 通 信 。 传 输 模 式 是 指 在 数据 包 的 IP 头 和 载荷 之 间 插 人 
IPSec 信息 。 当 一 个 主机 在 IPv4 上 运行 AH 或 ESP 时 ,其 载荷 是 跟 在 IP 报头 后 面 的 数据 ; 
对 IPv6 而 言 ,其 载荷 是 跟 在 IP 报头 后 面 的 数据 和 IPv6 的 任何 扩展 头 。 传 输 模 式 使 用 原始 
明文 IP 头 。 

传输 模式 的 ESP 可 以 加 密 和 认证 IP 载荷 .但 不 包括 IP 头 。 传 输 模 式 的 AH 可 以 认证 
IP 载荷 和 IP 报头 的 选中 部 分 。 

2. 隧道 模式 

隧道 模式 对 整个 IP 包 提 供 保护 。 为 了 达到 这 个 目的 . 当 IP 数据 包 附 加 了 AH 或 ESP 
域 之 后 ,整个 数据 包 加 安全 域 被 当做 一 个 新 IP 包 的 载荷 ,并 拥有 一 个 新 的 外 部 IP 包头 。 原 
来 (内 部 ) 的 整个 IP 包 利 用 隧道 在 网 络 之 间 传 输 . 沿 途 路 由 器 不 能 检查 内 部 IP 包头 。 由 于 
原来 的 包 被 封装 ,新 的 、 更 大 的 包 可 以 拥有 完全 不 同 的 源 地 址 与 目的 地 址 ,以 增强 安全 性 。 
当 SA 的 一 端 或 两 端 为 安全 网 关 时 使 用 隧道 模式 ,如 使 用 IPSec 的 防火 墙 或 路 由 器 。 防 火 
墙 外 的 主机 在 没有 IPSec 时 也 可 以 实现 安全 通信 : 当主 机 生成 的 未 保护 包 通 过 本 地 网 络 边 
缘 的 防火 墙 或 安全 路 由 器 时 ,IPSec 提供 隧道 模式 的 安全 性 。 

IPSec 如 何 操作 隧道 模式 的 例子 如 下 。 网 络 中 的 主机 A 生成 以 另 一 个 网 络 中 主机 B 作 
为 目的 地 址 的 IP 包 ,该 IJP 包 从 源 主机 A 被 发 送 到 A 网 络 边界 的 防火 墙 或 安全 路 由 器 。 防 
火 墙 过 滤 所 有 的 外 发 包 。 根 据 对 IPSec 处 理 的 请 求 , 如 果 从 A 到 B 的 包 需 要 IPSec 处 理 , 则 
防火 墙 执 行 IPSec 处 理 , 给 该 IP 包 添 加 外 层 IP 包头 .外 层 IP 包头 的 源 IP 地 址 为 此 防火 墙 
的 IP 地址 ,目的 地 址 可 能 为 B 本 地 网 络 边 界 的 防火 墙 的 地 址 。 这 样 , 包 被 传送 到 B 的 防火 
墙 ,而 其 间 经 过 的 中 间 路 由 器 仅 检查 外 部 IP 头 ; 在 B 的 防火 墙 处 .除去 外 部 IP 头 ,内 部 的 
包 被 送 往 主机 B。 

ESP 在 隧道 模式 中 加 密 和 认证 (可 选 ) 整 个 内 部 卫 包 :包括 内 部 IP 报头 。AH 在 隧道 
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模式 中 认证 整个 内 部 IP 包 和 外 部 IP 头 中 的 选中 部 分 。 
表 7-2 总 结 了 传输 模式 和 隧道 模式 的 功能 。 
表 7-2 传输 模式 和 隧道 模式 的 功能 


模式 传输 模式 SA 隧道 模式 SA 
认证 整个 内 部 IP 包 ( 内 部 报头 和 
AH 认证 IP 载荷 和 IP 头 中 的 选中 部 分 .IPv6 扩展 头 IP 载荷 ) 和 部 分 选中 的 外 部 IP 报 
头 、 外 部 IPv6 扩展 头 
ESP 加 密 IP 载荷 和 跟 在 ESP 头 后 的 所 有 IPv6 扩展 头 “| 加 密 内 部 IP 包 
带 认证 的 加 密 IP 载荷 和 跟 在 ESP 头 后 的 所 有 IPv6 扩展 头 ; | 加 密 内 部 IP 包 
ESP 认证 IP 载荷 .但 没有 IP 头 认证 内 部 IP 包 


当 IPSec 被 用 于 端 到 端的 应 用 ,传输 模式 更 合理 一 些 。 在 防火 墙 到 防火 墙 或 者 主机 到 
防火 墙 这 类 数据 仅 在 两 个 终端 结 点 之 间 的 部 分 链 路 上 受 保护 的 应 用 中 ,通常 采用 隧道 模式 。 
而 且 ,传输 模式 并 不 是 必需 的 ,因为 隧道 模式 可 以 完全 替代 传输 模式 。 但 是 隧道 模式 下 的 
IP 数据 包 有 两 个 IP 头 , 处 理 开 销 相 对 较 大 。 


7.3 认 证 头 


IP 认证 头 为 IP 数据 包 提 供 数据 完整 性 校 验 和 身份 认证 ,还 有 可 选择 的 抗 重 放 攻 击 保 
护 , 但 不 提供 数据 加 密 服 务 。 数 据 完 整 性 确保 在 包 的 传输 过 程 中 内 容 不 可 更 改 ; 认证 确保 
终端 系统 或 网 络 设备 能 对 用 户 或 应 用 程序 进行 认证 .并 相应 地 提供 流量 过 滤 功 能 ,同时 还 能 
防止 地 址 欺诈 攻击 和 重 放 攻击 。 认 证 基于 消息 鉴别 码 (MAC) ,双方 必须 共享 同一 个 密 钥 。 

由 于 AH 不 提供 机 密 性 保证 ,所 以 它 也 不 需要 加 密 算法 。AH 可 用 来 保护 一 个 上 层 协 
议 ( 传 输 模式 ) 或 一 个 完整 的 IP 数据 报 ( 隧 道 模式 )。 它 可 以 单独 使 用 ,也 可 以 和 ESP 联合 
使 用 。 

认证 头 由 如 下 域 组 成 ,如 图 7.4 所 示 。 


f 
安全 参数 索引 (SPD 
序列 号 


- 认证 数据 (变量 ) 


7-4 IPSec 认证 头 


(1) 邻接 头 (8 位 )。 标 识 AH 字段 后 面 下 一 个 负载 的 类 型 。 

(2) 有 效 载 荷 长 度 (8 位 )。 字 长 为 32 位 的 认证 头 长 度 减 2。 例 如 ,认证 数据 域 的 默认 
长 度 是 96 位 或 3 个 32 位 字 . 另 加 3 个 字 长 的 固定 头 ,总 共 6 个 字 , 则 载荷 长 度 域 的 值 为 4。 

(3) 保留 (7 位 )。 保 留 给 未 来 使 用 。 这 个 字段 的 值 设置 为 0。 

(4) 安全 参数 索引 (32 位 ) 。 这 个 字段 与 目的 IP 地址 和 安全 协议 标识 一 起 .共同 标识 当 
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前 数据 包 的 安全 关联 。 

(5) 序列 号 (32 位 ) 。 单 调 递增 的 计数 值 ,提供 了 反 重 放 的 功能 。 在 建立 SA 时 ,发送 方 
和 接收 方 的 序列 号 初始 化 为 0, 使 用 此 SA 发 送 的 第 一 个 数据 包 序列 号 为 1. 此 后 发 送 方 逐 
渐 增 大 该 SA 的 序列 号 ,并 把 新 值 插 入 到 序列 号 字段 。 

(6) 认证 数据 (变量 )。 变 长 域 , 包 含 了 数据 包 的 完整 性 校 验 值 C(Integrity Check Value， 
ICV) 或 包 的 MAC。 这 个 字段 的 长 度 必 须 是 32 位 字 的 整数 倍 ,可 以 包含 显示 填充 。 


7.3.1 反 重 放 服 务 


重 放 攻 击 是 指 攻击 者 在 得 到 一 个 经 过 认证 的 包 后 ,在 后 来 将 其 传送 到 目的 站 点 的 行为 。 
而 重复 接收 经 过 认证 的 IP 包 可 能 会 以 某 种 方式 中 断 服 务 或 产生 不 可 预料 的 后 果 。 序 列 号 
域 就 可 以 防止 上 述 攻 击 。 

当 建 立 了 一 个 新 的 SA 时 ,发 送 方 将 序列 号 初 值 设 为 0, 每 次 在 SA 上 发 送 一 个 包 , 则 计 
数 器 加 1 ,将 新 值 写 人 序列 号 域 。 这 样 ,使 用 的 第 一 个 值 即 为 1。 如 果 要 求 支持 反 重 放 ( 默 认 
设置 ) , 则 发 送 方 不 允许 循环 计数 。 发 送 方 在 将 新 值 插入 到 序列 号 字段 之 前 要 进行 检查 , 确 
保 计 数值 没有 折返 。 如 果 已 经 折返 , 则 发 送 方 要 建立 新 的 SA。 如 果 关 闭 了 反 重 放 , 则 计数 
值 可 以 折返 到 0 ,并 重新 开始 递增 。 

由 于 IP 是 无 连接 ,不 可 靠 的 服务 ,协议 不 能 保证 IP 数据 包 的 按 顺 序 传输 ,也 不 能 保证 
所 有 的 数据 包 均 被 传输 。 因 此 ,IPSec 认证 文档 声明 ,接收 方 应 实现 一 个 大 小 为 W 的 窗口 
(W 默认 为 64) 。 窗 口 的 右边 界 代表 最 大 的 序列 号 N, 记 录 目 前 收 到 的 合法 包 的 最 大 序列 
号 ,任何 序列 号 在 N 一 W 十 1 到 N 之 间 的 包 均 可 以 被 正确 接收 (如 被 验证 ) ,标记 窗口 的 正 
确 位 置 ( 见 图 7-5)。 接 收 到 包 后 的 处 理 过 程 如 图 7-5 所 示 。 


如 果 合 法 包 到 达 右 边界 则 右 移 窗口 


固定 的 窗口 大 小 多 


一 一 


DT 
N- 刺 | N+ 


1 
收 到 合法 包 时 标记 未 收 到 合法 包 时 不 标记 
图 7-5 AH 反 重 放 机 制 


(1) 如 果 所 接受 的 包 在 窗口 中 且 是 新 包 , 则 验证 MAC, 如 果 验 证 通过 , 则 在 窗口 中 标记 
相应 位 置 。 

(2) 如 果 所 接受 的 包 超过 窗口 的 右边 界 且 是 新 包 , 则 验证 MAC, 如 果 验 证 通过 , 则 以 这 
个 序列 号 为 窗口 的 右边 界 , 并 在 窗口 中 标记 相应 的 位 置 。 

(3) 如 果 所 接受 的 包 超过 窗口 的 左边 界 或 未 通过 验证 , 则 忽略 包 , 并 产生 审核 事件 。 


7.3.2 完整 性 校 验 值 


认证 数据 域 包含 ICV。ICYV 是 一 种 报 文 认证 编码 MAC 或 MAC 算法 生成 的 截断 代 
码 。 有 许多 规格 说 明 描 述 了 这 一 规范 ,例如 : 
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。 HMAC-MD5-96; 

。 HMAC-SHA-1-96 。 

上 述 两 种 规格 说 明 均 使 用 了 HMAC 算法 .而 前 者 使 用 MD5 散 列 函数 .后 者 使 用 SHA-1 
散 列 函 数 。 两 者 均 先 计 算 全 部 HMAC 值 ,然后 截断 前 96 位 (认证 数据 域 的 默认 长 度 ) 。 

MAC 根据 如 下 部 分 进行 计算 : 

(1) IP 报头 : 传输 过 程 中 不 变 的 部 分 和 AH, 以 及 SA 终点 可 以 预测 的 部 分 ,对 可 变 部 
分 或 不 可 预计 的 部 分 全 部 置 0, 便 于 在 源 端 和 目的 端 计算 。 

(2) AH 报头 不 包括 认证 数据 域 : 认证 数据 域 被 置 0. 便 于 在 源 端 和 目的 端 计 算 。 

(3) 整个 上 层 协 议 数据 : 假设 在 传输 过 程 中 不 变 .如 TCP 段 或 隧道 模式 中 的 内 部 卫 包 。 

对 IPv4 而 言 , 不 变 域 为 Internet 包头 长 度 ,可 变 但 可 预测 的 域 为 目的 地 址 ,对 ICV 计 
算 具 有 0 优先 级 的 可 变 域 为 生存 时 间 域 及 头 校 验 和 域 。 源 地 址 和 目的 地 址 均 被 保护 ,以 防 
地 址 欺诈 。 

对 IPv6 而 言 ,不 变 域 为 基本 头 的 版 本 号 ,可 变 但 可 预测 的 域 为 目的 地 址 ,具有 0 优先 级 
的 可 变 域 为 流标 签 。 
7.3.3 AH 工作 模式 

AH 可 用 于 传输 模式 和 隧道 模式 。 任 何 一 种 情况 下 ,AH 都 要 对 外 部 IP 头 的 固有 部 分 
进行 身份 验证 。 

典型 的 IPv4 和 IPv6 包 如 图 7-6 所 示 。 此 时 .IP 载荷 为 TCP 分 段 , 也 可 以 是 任何 使 用 
IP 的 数据 单元 ,如 UDP 或 ICMP。 


IPv4 | 原 IP 头 | TCP | 数据 


IPv6 [mr] 扩展 头 | TcP | 数据 


图 7-6 IP 包 格式 


1. 传输 模式 
AH 的 传输 模式 只 保护 IP 数据 包 的 不 变 部 分 , 它 保 护 的 是 端 到 端的 通信 ,通信 的 终点 
必须 是 IPSec 终点 ,如 图 7-7 所 示 。 


除 可 变 域 外 的 认证 一 一 一 


IPv4 原 IP 头 |AH ICP 数据 | 
除 可 变 域 外 的 认证 
yy | 跳 、 目 的 地 址 、 目的 
IPv6 | 原 P 头 | 路 由 、 分 段 |AH| 地 址 | TCP 数据 


7-7 AH 的 传输 模式 


在 IPv4 的 传输 模式 AH 中 ,AH 插入 到 原始 IP 报头 之 后 IP 载荷 (如 TCP 分 段 ) 之 前 。 
认证 包括 了 除 IPv4 报头 中 可 变 的 ,被 MAC 计算 置 为 0 的 域 以 外 的 整个 包 。 

在 IPv6 中 ,AH 被 作为 端 到 端 载荷 . 即 不 被 中 间 路 由 器 检查 或 处 理 。 因 此 .AH 出 现在 
IPv6 基本 头 、 跳 .路 由 和 分 段 扩 展 头 之 后 。 目 的 地 址 作为 可 选 报头 在 AH 前 面 或 后 面 ,由 特定 
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语义 决定 。 同 样 ,认证 包括 了 除 IPv4 报头 中 可 变 的 .被 MAC 计算 置 为 0 的 域 以 外 的 整个 包 。 
2. 隧道 模式 
AH 用 于 隧道 模式 时 ,整个 原始 IP 包 被 认证 ,AH 被 插入 到 原始 IP 头 和 新 外 部 IP 包头 之 
间 。 原 IP 头 中 包含 了 通信 的 原始 地 址 ,而 新 IP 头 则 包含 了 IPSec 端点 的 地 址 ,如 图 7-8 
所 示 。 


除 新 下头 中 可 变 域外 认证 一 一 一 
IPv4 | 新 IP 头 |AH| 原 IP 头 | TCP | ”数据 | 
除 新 IP 头 中 可 变 域 外 认证 
IiPve [新 IP 头 | 扩展 头 |AH| 原 Ip 头 | 扩展 类 | TcP [ 数据 | 


7-8 AH 隧道 模式 


使 用 隧道 模式 ,整个 内 部 IP 包 , 包 括 整个 内 部 IP 头 均 被 AH 保护 。 外 部 IP 头 CIPv6 
中 的 外 部 IP 扩展 头 ) 除 了 可 变 且 不 可 预测 的 域 之 外 均 被 保护 。 隧 道 模式 可 用 来 蔡 换 端 到 端 
安全 服务 的 传输 模式 ; 但 由 于 这 一 协议 中 没有 提供 机 密 性 ,因此 ,相当 于 就 没有 隧道 封装 这 
一 保护 措施 ,所 以 它 没有 什么 用 处 。 


7.4 封装 安全 载荷 


封装 安全 载荷 ESP 为 IP 数据 包 提 供 数据 完整 性 校 验 . 身 份 认证 和 数据 加 密 , 还 有 可 选 
择 的 抗 重 放 攻击 保护 。 即 除 提供 AH 提供 的 所 有 服务 外 ,ESP 还 提供 数据 保密 服务 ,保密 
服务 包括 报 文 内 容 保 密 和 流量 限制 保密 。ESP 用 一 个 密码 算法 提供 机 密 性 ,数据 完整 性 则 
由 身份 验证 算法 提供 。ESP 通过 插入 一 个 唯一 的 、 单 向 递增 的 序列 号 提供 抗 重 放 服 务 。 保 
密 服务 可 以 独立 于 其 他 服务 而 单独 选择 .数据 完整 性 校 验 和 身份 认证 用 作 保 密 服 务 的 联合 
服务 。 只 有 选择 了 身份 认证 时 , 才 可 以 选择 抗 重 放 服 务 。 

ESP 可 以 单独 使 用 ,也 可 以 和 AH 联合 使 用 .还 可 以 通过 隧道 模式 使 用 。ESP 可 以 提 
供 包 括 主机 到 主机 、 防 火 墙 到 防火 墙 \ 主 机 到 防火 墙 之 间 的 安全 服务 。 


ESP 包 的 格式 如 图 7.9 所 示 , 它 包含 如 下 各 域 : 
位 : 0 16 24 31 


到 x 
安全 参数 索引 (SPD 
序列 号 


SEE 


载荷 数据 ( 变 长 ) 


辐 疼 蜡 褒 


填充 域 (0 一 255 字 地 ) 
yy 填充 长 度 | ”邻接 头 


认证 数据 (变量 ) 


7-9 ESP 格式 
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(1) 安全 参数 索引 SPI(32 位 ) 。 标 识 安全 关联 。ESP 中 的 SPI 是 强制 字段 ,总 要 提供 。 

(2) 序列 号 (32 位 )。 单 调 递增 计数 值 ,提供 反 重 放 功 能 。 这 是 个 强制 字段 ,并 且 总 要 
提供 ,即使 接收 方 没有 选择 对 特定 SA 的 反 重 放 服 务 。 如 果 开 放 了 反 重 放 服 务 , 则 计数 值 不 
允许 折返 。 

(3) 载荷 数据 (变量 )。 变 长 的 字段 .包括 被 加 密 保 护 的 传输 层 分 段 ( 传 输 模 式 ) 或 IP 包 
(隧道 模式 ) 。 该 字段 的 长 度 是 字 节 的 整数 倍 。 

(4) 填充 域 (0 一 255 字 节 ) 。 可 选 字段 ,但 所 有 实现 都 必须 支持 生成 和 消费 填充 值 。 该 
字段 满足 加 密 算 法 的 需要 (如 果 加 密 算 法 要 求 明文 是 字 节 的 整数 倍 ) ,还 可 以 提供 通信 流量 
的 保密 性 。 发 送 方 可 以 填充 0 一 255 字 节 的 填充 值 。 

(5) 填充 长 度 (8 位 )。 紧 跟 填 充 域 , 指 示 填 充 数据 的 长 度 , 有 效 值 范 围 是 0 一 255 。 

(6) 邻接 头 (8 位 )。 标 识 载荷 中 第 一 个 报头 的 数据 类 型 (如 IPv6 中 的 扩展 头 或 上 层 协 
议 TCP 等 ) 。 

(7) 认证 数据 ( 变 长 ) 。 一 个 变 长 域 ( 必 须 为 32 位 字 长 的 整数 倍 ) ,包含 根据 除 认 证 数据 
域外 的 ESP 包 计算 的 完整 性 校 验 值 。 该 字段 长 度 由 所 选择 的 认证 算法 决定 。 


7.4.1 加 密 和 认证 算法 


载荷 数据 .填充 数据 .填充 长 度 和 邻接 头 域 在 ESP 中 均 被 加 密 。 如 果 加 密 载 荷 的 算法 
需要 初始 向 量 IV 这 样 的 同步 数据 , 则 必须 从 载荷 数据 域 头 部 取 ,IV 通常 作为 密 文 的 开头 ， 
但 并 不 被 加 密 。 

目前 ,必须 支持 DES 算法 按 CBC 加 密 , 其 他 可 以 用 来 加 密 的 算法 包括 : 3DES、RC5、 
IDEA、3 IDEA CAST 和 Blowfish 。 

对 加 密 来 说 ,发 送 方 封装 ESP 字段 ,添加 必要 的 填充 并 加 密 结果 。 发 送 方 使 用 SA 和 
IV( 密 码 同 步 数 据 ) 指 定 的 密 钥 、 加 密 算法 、 算 法 模式 来 加 密 字段 。 如 果 加 密 算法 要 求 IV, 则 
这 个 数据 被 显示 地 携带 在 载荷 字段 中 。 加 密 在 认证 之 前 执行 ,并 且 不 包含 认证 数据 。 这 种 
方式 有 利于 接收 方 在 解密 之 前 快速 地 检测 数据 包 ,拒绝 重 放 和 伪造 的 数据 包 。 

接收 方 使 用 密 钥 .解密 算法 和 IV 来 解密 ESP 载荷 数据 .填充 .填充 长 度 和 邻接 头 。 如 
果 指 明 使 用 了 显示 IV, 则 这 个 数据 从 负载 中 取出 ,输入 到 解密 算法 中 。 如 果 使 用 隐 式 IV， 
则 接收 方 构造 一 个 本 地 IV 输入 到 解密 算法 中 。 

认证 算法 由 SA 指定 。 与 AH 相同 ,ESP 支持 使 用 默认 为 96 位 的 MAC, 且 应 支持 
HMAC-MD5-96 和 HMAC-SHA-1-96。 发 送 方 针对 去 掉 认证 数据 部 分 的 ESP 计算 ICV。 
SPI\ 序 列 号 载荷 数据 .填充 数据 .填充 长 度 和 邻接 头 都 包含 在 ICV 的 计算 中 。 


7.4.2 填充 


填充 域 功能 如 下 : 

(1) 如 果 加 密 算 法 需要 原文 满足 一 定 的 长 度 要 求 , 则 填充 域 可 用 于 扩展 原文 长 度 ( 包 括 
载荷 数据 .填充 数据 .填充 长 度 和 邻接 头 域 ) 到 所 需 长 度 。 

(2) ESP 格式 需要 填充 长 度 和 邻接 头 域 为 右 对 齐 的 32 位 字 , 以 及 密 文 长 度 需 要 为 32 
位 的 整数 们 ,不 足 位 也 需要 填充 域 来 确保 。 

(3) 增加 额外 的 填充 域 可 以 隐藏 载荷 的 实际 长 度 ,并 提供 部 分 流量 保护 。 
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7.4.3 ESP 工作 模式 


与 AH 一 样 ,ESP 支持 两 种 模式 : 传输 模式 和 隧道 模式 ,而 且 IPv4 和 IPv6 稍 有 不 同 。 
1. 传输 模式 ESP 


传输 模式 ESP 用 于 加 密 和 认证 (可 选 )IP 携带 的 数据 (如 TCP 分 段 ), 如 图 7-10 所 示 。 
一 认证 一 
一 一 一 一 一 加 密 
sou | ESP 3 ESP | ESP 
IPv4 | 原 IP 头 头 | TCP 数据 | 尾 区 
一 认证 一 
加 密 一 
i 跳 、 目 的 地 址 、| ESP | 目的 Ne ESP | ESP 
IPv6 | 原 IP 头 路 由 、 分 段 | 头 | 地 址 | TCP | 数据 尾 | 器 


图 7-10 传输 模式 ESP 


在 此 模式 下 使 用 IPv4,ESP 头 位 于 传输 头 (TCP .UDP ICMP) 之 前 ,ESP 尾 ( 填 充 数据 、 
填充 长 度 和 邻接 头 域 ) 放 入 IP 包 尾 部 。 如 果 选 择 了 认证 , 则 将 ESP 的 认证 数据 域 置 于 ESP 
尾 之 后 。 整 个 传输 层 分 段 和 ESP 尾 一 起 加 密 。 认 证 覆盖 ESP 头 和 所 有 密 文 。 

在 IPv6 中 ,ESP 被 视 为 端 到 端 载荷 , 即 不 被 中 间 路 由 器 校 验 和 处 理 。 因 此 ,ESP 头 出 
现在 IPv6 基本 头 、. 跳 .路 由 和 分 段 扩 展 头 之 后 ,目的 可 选 扩展 头 可 根据 愿望 出 现在 ESP 头 
之 前 或 之 后 。 如 果 可 选 扩展 头 在 ESP 头 之 后 . 则 加 密 包括 整个 传输 段 .ESP 尾 和 目的 可 选 
扩展 头 。 认 证 覆盖 了 ESP 头 和 所 有 密 文 。 

传输 模式 操作 可 归纳 如 下 : 

(1) 在 源 端 ,包括 ESP 尾 和 整个 传输 层 分 段 的 数据 块 被 加 密 , 块 中 的 明文 被 密 文 蔡 代 ， 
形成 要 传输 的 IP 包 , 如 果 选 择 了 认证 , 则 加 上 认证 。 

(2) 将 包 送 往 目 的 地 。 中 间 路 由 器 需要 检查 和 处 理 IP 头 和 任何 附加 的 IP 扩展 头 , 但 
不 需要 检查 密 文 。 

(3) 目的 结 点 对 IP 报头 和 任何 附加 的 IP 扩展 头 进行 处 理 后 .利用 ESP 头 中 的 SPI 解 
密 包 的 剩余 部 分 ,恢复 传输 层 分 段 数 据 。 

传输 模式 操作 为 任何 使 用 它 的 应 用 提供 保护 ,而 不 需要 在 每 个 单独 的 应 用 中 实现 。 同 
时 ,这 种 方式 也 是 高 效 的 , 仅 增加 了 少量 的 IP 包 长 度 。 它 的 一 个 弱点 是 可 能 对 传输 包 进 行 
流量 分 析 。 

2. 隧道 模式 ESP 

隧道 模式 ESP 用 于 加 密 整 个 IP 包 , 如 图 7-11 所 示 。 

在 此 模式 中 ,将 ESP 头 作 为 包 的 前 缀 ,并 在 包 后 附加 ESP 尾 . 然 后 对 其 进行 加 密 。 该 
模式 用 于 对 流量 计数 分 析 。 

由 于 IP 头 中 包含 目的 地 址 和 可 能 的 路 由 以 及 跳 信 息 . 不 可 能 简单 地 传输 带 有 ESP 头 
的 、 被 加 密 的 IP 包 ,因为 这 样 中 间 路 由 器 就 不 能 处 理 该 数据 包 。 因 此 ,必须 用 新 的 IP 报头 
封装 整个 数据 块 (ESP 头 、 密 文 和 可 能 的 认证 数据 ) .其 中 拥有 足够 的 路 由 信息 , 却 没有 为 流 
量 分 析 提 供 信 息 。 
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一 认证 一 
过 加 密 es 
y. | ESP S ESP | ESP 
IPv4 | 新 IP 头 | 头 | 原 IP 头 | TCP 数据 尾 | 认证 
一 认证 一 
— 加 密 - 
IPv6 | 新 IP 头 | 扩展 头 | 2 ”| 原 IP 头 | 扩展 头 | TcP | 数据 | 加 于 | 


图 7-11 隧道 模式 ESP 


然而 ,传输 模式 适合 于 保护 支持 ESP 特性 的 主机 之 间 的 连接 ,而 隧道 模式 则 适用 于 防 
火 墙 或 其 他 安全 网 关 , 保 护 内 部 网 络 ,隔离 外 部 网 络 。 后 者 加 密 仅 发 生 在 外 部 网 络 和 安全 网 
关 之 间或 两 个 安全 网 关 之 间 ,从 而 内 部 网 络 的 主机 不 负责 加 密 工 作 ,通过 减少 所 需 密 钥 数 目 
简化 密 钥 分 配 任务 。 另 外 , 它 阻 碍 了 基于 最 终 目 的 地 址 的 流量 分 析 。 

考虑 这 样 一 种 情况 ,外 部 主机 想 与 防火 墙 保护 的 内 部 网 络 中 的 一 台 主 机 进行 通信 , 则 在 
将 传输 层 分 段 从 外 部 主机 传 到 内 部 主机 过 程 中 采取 以 下 步 又: 

J@ 源 端 将 目标 内 部 主机 的 IP 地 址 作为 目的 地 址 准备 一 个 内 部 IP 包 , 以 ESP 头 为 前 
级 ,再 将 包 和 ESP 尾 加 密 , 并 可 以 加 上 认证 数据 。 然 后 新 的 IP 头 封装 数据 块 (基本 头 和 可 
选 的 扩展 ,如 IPv6 的 路 由 和 跳 信 息 ), 目 的 地 址 为 防火 墙 的 地 址 ,生成 外 部 IP 包 。 

@ 外 部 IP 包 到 达 目 的 防火 墙 ,其 中 经 过 的 中 间 路 由 器 应 检查 和 处 理 外 部 IP 头 和 任何 
外 部 IP 扩展 头 , 而 不 需要 检查 密 文 。 

@ 目的 防火 墙 检查 和 处 理 外 部 IP 报头 和 任何 外 部 IP 扩展 头 ,然后 ,根据 ESP 头 中 的 
SPI, 解 密 包 的 剩余 部 分 ,恢复 内 部 IP 包 的 原文 .然后 在 内 部 网 络 中 传输 包 。 

@ 内 部 包 经 过 0 个 或 多 个 路 由 器 到 达 目 的 主机 。 


7.5 安全 关联 组 合 


单个 SA 可 以 实现 AH 或 ESP 协议 ,但 不 能 两 者 都 实现 。 有 时 ,特定 的 流量 需要 在 主 
机 间 提 供 IPSec 服务 .并 在 安全 网 关 间 (如 防火 墙 间 ) 为 相同 流量 提供 分 离 的 服务 。 此 时 ,为 
了 达到 理想 的 IPSec 服务 ,需要 为 相同 流量 提供 多 个 SA。 安 全 关联 束 是 指 为 提供 特定 的 
IPSec 服务 集 所 需 的 一 个 SA 序列 。 安 全 关联 束 中 的 SA 可 以 在 不 同 结 点 终止 ,也 可 以 在 同 

安全 关联 可 以 通过 两 种 方式 组 合成 束 : 

(1) 传输 邻接 。 指 在 不 调用 隧道 的 情况 下 .对 一 个 IP 包 使 用 多 个 安全 协议 。 组 合 AH 和 
ESP 的 方法 仅 允 许 一 级 组 合 . 因 为 对 一 个 IPSec 实例 进行 多 次 骨 套 没有 任何 好 处 。 

(2) 隧道 迭代 。 指 通过 IP 隧道 应 用 多 层 安 全 协议 。 由 于 每 个 隧道 可 以 在 路 径 上 的 不 
同 IPSec 结 点 起 始 和 终止 ,因此 ,该 方法 允许 多 层 租 套 。 

IPSec 结构 文档 列举 了 四 种 SA 组 合 ,IPSec 的 主机 (如 工作 站 、 服 务 器 ) 或 安全 网 关 ( 如 
防火 墙 、 路 由 器 ) 必 须 支持 这 些 组 合 。 如 图 7-12 所 示 . 图 的 下 部 表示 元 素 的 物理 连接 ,上 部 
表示 一 个 或 多 个 幅 套 的 SA 逻辑 连接 。 每 个 SA 可 以 是 AH 或 ESP。 对 主机 到 主机 的 SA 
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一 个 或 多 个 SA 隧道 SA 


(a) 情况 1 (b) 情况 2 


隧道 SA 个 或 两 个 SA 隧道 SA 个 或 两 个 SA 


(c) 情况 3 (d) 情况 4 


* 实现 IPSec 
图 7-12 安全 关联 的 基本 组 合 方式 


而 言 ,模式 可 以 是 传输 的 或 隧道 的 ,和 否则 ,必须 是 隧道 模式 。 

情况 1 为 实施 IPSec 的 终端 系统 间 提 供 所 需 的 安全 机 制 , 通 过 SA 通信 的 任何 两 个 终 
端 系统 ,必须 共享 特定 的 密 钥 .可 能 的 连接 如 下 : 

QO@ 传输 模式 的 AH; 

@ 传输 模式 的 ESP; 

@ 传输 模式 的 AH 后 紧 跟 ESP(AH SA 内 置 于 ESP SA); 

@ 在 AH 或 ESP 隧道 模式 中 拥有 连接 @、 连 接 @ 或 连接 @。 

我 们 已 经 讨论 了 如 何 用 各 种 关联 支持 认证 ,加密 、 认 证 前 加 密 和 认证 后 加 密 。 

在 情况 2 中 , 仅 在 网 关 间 提供 安全 保护 .主机 不 实现 IPSec。 此 时 ,支持 简单 的 虚拟 专 
用 网 。 隧 道 可 支持 AH、ESP 或 带 认 证 的 ESP。 由 于 IPSec 将 作用 于 整个 内 部 包 , 故 而 不 需 
要 隧道 嵌 套 。 

情况 3 在 情况 2 的 基础 上 增加 了 端 到 端 保护 。 情 况 1 和 情况 2 讨论 的 组 合 在 此 都 允 
许 。 网 关 到 网 关 的 隧道 对 终端 系统 间 的 所 有 通信 提供 认证 和 /或 保密 。 网 关 到 网 关 的 隧道 
ESP 可 对 流量 提供 一 定 的 保密 性 。 单 个 主机 可 以 根据 特定 应 用 实现 任何 额外 的 IPSec 服务 
或 为 用 户 提 供 端 到 端的 SA。 

情况 4 支持 远程 主机 使 用 互联 网 到 达 企 业 的 防火 墙 . 访 问 防火 墙 后 的 某 些 服务 器 或 工 
作 站 。 在 防火 墙 和 远程 用 户 之 间 仅 需要 隧道 模式 。 如 情况 1 一 样 ,可 在 远程 主机 和 本 地 主 
机 间 使 用 一 到 两 个 SA。 
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7.6 IKE 


IPSec 的 密 钥 管理 包括 密 钥 的 建立 和 分 发 。 密 钥 建 立 是 依赖 于 加 密 的 数据 保护 的 核 
心 , 密 钥 分 发 则 是 数据 保护 的 基础 。IPSec 体系 结构 文档 要 求 支 持 两 种 密 钥 管理 类 型 : 

(1) 人 人工。 系统 管理 员 以 人 工 方式 为 每 个 系统 配置 自己 的 密 钥 和 其 他 通信 系统 密 钥 。 
这 种 方式 适用 于 小 规模 、 相 对 静止 的 环境 。 

(2) 自动 。 在 大 型 分 布 系统 中 使 用 可 变 配 置 为 SA 动态 按 需 创建 密 钥 。 

Internet 密 钥 交换 (Internet Key Exchange.IKE) 用 于 动态 建立 SA 和 会 话 密 钥 。 在 建 
立 安 全 会 话 之 前 ,通信 双方 需要 一 种 协议 ,用 于 自动 地 ` 以 受 保护 的 方式 进行 双向 认证 、 建 立 
共享 的 会 话 密 钥 和 生成 IPSec 的 SA ,这 一 协议 叫做 IKE 协议 。IKE 的 目的 是 使 用 某 种 长 
期 密 钥 (如 共享 的 秘密 密 钥 、 签 名 公 钥 和 加 密 公 钥 ) 进 行 双 向 认证 并 建立 会 话 密 钥 ,以 保护 后 
续 通 信 。IKE 代表 IPSec 对 SA 进行 协商 ,并 对 安全 关联 数据 库 (SAD) 进 行 填充 。 

IETF 设计 了 IKE 的 整个 规范 ,主要 由 三 个 文档 定义 : RFC 2407、RFC 2408 和 RFC 
2409。RFC 2407 定义 了 因特网 IP 安全 解释 域 (IPSec DOD ,RFC 2408 描述 因特网 安全 关 
联 和 密 钥 管理 协议 ISAKMP. RFC 2409 则 描述 了 IKE 如 何 利 用 Oakley、SKEME 和 
ISAKMP 进行 安全 关联 的 协商 。 

Oakley 是 一 个 基于 Diffie-Hellman 算法 的 密 钥 交换 协议 ,描述 了 一 系列 称 为 “模式 ”的 
密 钥 交换 ,并 且 定 义 了 每 种 模式 提供 的 服务 。Oakley 允许 各 方 根据 本 身 的 速度 来 选择 使 用 
不 同 的 模式 。 以 Oakley 为 基础 ,IKE 借鉴 了 不 同 模式 的 思想 .每 种 模式 提供 不 同 的 服务 但 
都 产生 一 个 结果 : 通过 验证 的 密 钥 交换 。 在 Oakley 中 ,并 未 定义 模式 进行 一 次 安全 密 钥 交 
换 需 要 交换 的 信息 ,而 IKE 对 这 些 模式 进行 了 规范 ,将 其 定义 成 正规 的 密 钥 交换 方法 。 

SKEME 是 另外 一 种 密 钥 交换 协议 ,定义 了 验证 密 钥 交换 的 一 种 类 型 。 其 中 ,通信 各 方 
利用 公 钥 加 密实 现 相 互 间 的 验证 ; 同时 “共享 ”交换 的 组 件 。 每 一 方 都 要 用 对 方 的 公 钥 来 加 
密 一 个 随机 数字 ,两 个 随机 数 ( 解 密 后 ) 都 会 对 最 终 的 会 话 密 钥 产生 影响 。 通 信 的 一 方 可 选 
择 进 行 一 次 Diffie-Hellmna 交换 ,或 者 仅仅 使 用 另 一 次 快速 交换 对 现 有 的 密 钥 进行 更 。 
IKE 在 它 的 公共 密 钥 加 密 验 证 中 ,直接 借用 了 SKEME 的 这 种 技术 ,同时 也 借用 了 快速 密 
钥 刷 新 的 概念 。 

ISAKMP 为 认证 和 密 钥 交换 提供 了 一 个 框架 .用 来 实现 多 种 密 钥 交换 。ISAKMP 自身 
不 包含 特定 的 交换 密 钥 算法 ,而 是 定义 了 一 系列 使 用 各 种 密 钥 交换 算法 的 报 文 格式 ,规定 了 
通信 双方 的 身份 认证 ,安全 关联 的 建立 和 管理 . 密 钥 产生 的 方法 .以 及 安全 威胁 (例如 重 放 攻 
击 ) 的 预防 。 

DOI 是 ISAKMP 的 一 个 概念 ,规定 了 ISAKMP 的 一 种 特定 用 法 .其 含义 是 ,对 于 每 个 
DOI 值 ,都 应 该 有 一 个 与 之 相对 应 的 规范 ,以 定义 与 该 DOI 值 有 关 的 参数 。IKE 实际 上 是 
一 种 常规 用 途 的 安全 交换 协议 ,适用 于 多 方面 的 需求 .如 SNMPv3、OSPFZv 等 。IKE 采用 
的 规范 是 在 “解释 域 ”" 中 制订 的 . 它 定义 了 IKE 具体 如 何 协商 IPSecSA。 如 果 其 他 协议 要 用 
到 IKE, 每 种 协议 都 要 定义 各 自 的 DOI。 

IETF 为 IPSec 设计 的 自动 的 密 钥 管理 协议 是 ISAKMP/Oakley。 


7.6.1 Oakley 密 钥 确定 协议 


1. Oakley 背景 

Oakley 是 Diffie-Hellman 交换 密 钥 算法 的 细 化 。Diffie-Hellman 涉及 用 户 A 和 用 户 B 
间 的 交互 。A 和 B 首 在 两 个 全 局 参数 上 达成 一 致 : 大 素数 g 和 g 的 本 源 根 g。A 选择 一 个 
随机 整数 Xs 作为 它 的 私 钥 , 并 计算 其 公 钥 Y 二 gx mod g 传 给 B。 同 样 ,B 也 选择 一 个 随 
机 整数 Xs 作为 它 的 私 钥 ,计算 其 公 钥 Ye 一 sx mod g 传 给 A。 这 样 ,双方 即 可 计算 它们 的 
会 话 密 钥 : 

K= (Ye)* modg= (Ya)*s mod gqg= g*s*s modg 

Diffie-Hellman 算法 有 三 个 很 好 的 特性 : 

(1) 密 钥 不 需要 长 时 间 地 保存 . 仅 在 需要 时 动态 地 创建 。 因 此 , 密 钥 泄露 的 可 能 性 大 大 
减少 了 。 

(2) 密 钥 协商 过 程 中 只 需要 利用 全 局 参数 就 可 以 达成 目的 ,不 需要 其 他 额外 的 交换 
开销 。 

(3) 密 钥 协商 中 交换 的 信息 无 需 保 密 。 通 信 双 方 即 使 只 能 在 公开 环境 中 交换 信息 也 能 
够 协商 密 钥 。 

然而 Diffie-Hellman 算法 也 有 一 些 缺 点 : 

(1) 不 提供 任何 标识 各 方 身份 的 信息 . 密 钥 协商 过 程 中 没有 身份 认证 。 

(2) 易 受 中 间 人 的 攻击 。 第 三 方 C 可 以 在 与 A 通信 时 冒充 B. 而 在 与 B 通信 时 冒充 A。 
中 间 人 攻击 过 程 如 下 : 

Q@@B 给 A 发送 公 钥 Ys。 

@ 敌 方 穷 听 到 该 消息 ,将 B 的 公 钥 保存 下 来 ,并 向 A 以 B 的 用 户 标识 发 送 带 有 下 的 
公 钥 Ys 的 报 文 。 该 报 文 伪装 成 从 B 的 主机 发 送出 来 的 形式 .于 是 A 接收 了 EE 的 报 文 , 将 E 
的 公 钥 和 B 的 用 户 标 识 一 起 存储 ; 同样 地 .E 伪装 成 A 向 B 发 送 一 个 带 有 下 公 钥 的 报 文 。 

@B 在 B 的 私 钥 和 Ys 的 基础 上 计算 会 话 密 钥 Ki.A 在 人 A 的 私 钥 和 Ys 的 基础 上 计算 
会 话 密 钥 K; ,E 使 用 下 的 私 钥 Xe 和 Ye 计算 Ki. 使 用 Xe 和 YA 计算 Ks。 

@ 此 后 ,E 就 可 以 通过 转 接 从 A 到 B 和 从 B 到 和 A 的 消息 来 获得 A 和 B 的 通信 内 容 ， 
而 A 和 B 却 无 法 知道 他 们 在 与 下 共享 通信 。 

(3) 它 是 计算 密集 性 的 ,容易 遭受 阻塞 性 攻击 。 攻 击 方 请 求 大 量 的 密 钥 ,而 受 攻击 者 花 
费 了 相对 多 的 计算 资源 来 做 无 意义 的 乘 方 . 取 模 运 算 。 

Oakley 算法 则 是 一 种 保持 了 Diffie-Hellman 优点 而 去 掉 了 其 缺点 的 一 种 算法 。 
Oakley 协议 被 真正 地 用 于 建立 两 个 通信 实体 之 间 的 共享 密 钥 。 

2. Oakley 的 特性 

Oakley 算法 有 如 下 5 个 重要 特性 : 

(1) 可 以 防止 阻塞 攻击 。 

(2) 双方 可 以 协商 得 到 一 个 组 。 本 质 上 这 与 Diffie-Hellman 密 钥 交换 的 全 局 参数 
一 样 。 
(3) 使 用 临时 交互 号 防止 重 放 攻击 。 
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(4) 可 以 交换 Diffie-Hellman 的 公 钥 值 。 

(5) 对 Diffie-Hellman 交换 进行 认证 ,防止 中 间 人 攻击 。 

Oakley 协议 使 用 了 Cookie。 这 里 的 Cookie 与 Web 浏览 中 的 Cookie 完全 不 同 , 指 通信 
实体 随机 选择 的 一 个 数 。Cookie 作为 防 阻塞 标记 提供 了 通信 双方 的 源 地 址 识别 ,用 于 保护 
计算 资源 免 于 被 攻击 。Cookie 交换 要 求 各 方 在 发 给 对 方 确认 的 初始 报 文中 发 送 一 个 伪 随 
机 数 Cookie, 此 确认 必须 在 Diffie-Hellman 密 钥 交换 的 第 一 个 报 文 中 重复 。 如 果 源 地 址 是 
伪造 的 , 则 攻击 者 不 能 得 到 该 Cookie。 因 此 ,攻击 者 只 能 要 求 用 户 生成 确认 报 文 ,但 不 可 能 
要 求 用 户 执 行 Diffie-Hellman 计算 。 

ISAKMP 要 求 Cookie 的 生成 应 满足 3 个 基本 需求 : 

(1) Cookie 必须 与 特定 的 通话 方 相 关 。 这 样 可 以 防止 攻击 者 使 用 合法 的 IP 地 址 和 
UDP 端口 获得 Cookie 后 ,将 它 用 于 其 他 IP 地 址 和 端口 。 

(2) 被 某 个 实体 承认 的 Cookie 只 能 由 其 发 行 实体 生成 ,不 可 能 由 其 他 实体 生成 ,使 得 
发 行 实体 使 用 本 地 秘密 信息 生成 Cookie, 继 而 验证 它 。 并 且 , 该 秘密 信息 不 可 能 从 其 他 
Cookie 中 推导 出 来 。 其 本 质 在 于 发 行 实体 不 需要 保存 它 所 发 行 的 Cookie, 当 在 需要 时 能 验 
证 收 到 的 Cookie, 从 而 降低 了 被 发 现 的 可 能 性 。 

(3) Cookie 的 生成 和 验证 方法 必须 足够 快 ,以 防范 企图 占用 处 理 器 资源 的 攻击 。 

推荐 创建 Cookie 的 方法 是 根据 源 IP 地 址 .目的 IP 地 址 、UDP 源 端口 和 目的 端口 ,以 
及 一 个 本 地 生成 的 秘密 值 , 快 速生 成 散 列 值 (如 MD5)。 

Oakley 支持 在 Diffie-Hellman 密 钥 交换 时 使 用 不 同 的 Diffie-Hellman 组 ,每 组 包含 两 
个 全 局 参数 和 算法 标识 。 目 前 ,规范 中 包括 如 下 组 : 

(1) 768 位 模 数 的 乘 方 取 模 : 

q=2%—2%—1+2% xX (2 X |+149686) 
如 一 2 
(2) 1024 位 模 数 的 乘 方 取 模 : 
g= 2 2% 一 1 十 2% X(C|284 xx|+129093) 
g 一 2 
(3) 1536 位 模 数 的 乘 方 取 模 : 参数 待定 。 
(4) 225 的 椭圆 曲线 : 
* 生成 器 (十 六 进 制 ): X 王 7B,Y 一 1C8。 
* 椭圆 曲线 参数 (十 六 进 制 ):. A 二 0,Y 二 7338F。 
(5) 2 的 椭圆 曲线 
* 生成 器 (十 六 进 制 ) : X==18,Y= 二 D。 
* 椭圆 曲线 参数 (十 六 进 制 ): A 二 0,Y 二 1EE9。 

前 三 种 是 使 用 乘 方 取 模 的 传统 Diffie-Hellman 算法 .后 两 种 是 使 用 椭圆 曲线 模拟 
Diffie-Hellman 。 

Oakley 使 用 nonce 来 防止 重 放 攻 击 。 每 个 nonce 是 一 个 本 地 生成 的 伪 随 机 数 ,nonce 
在 应 答 中 出 现 , 并 在 交换 的 特定 部 分 加 密 以 对 它 进行 保护 。 

在 Oakley 中 使 用 了 3 种 认证 方法 : 

(1) 数字 签名 。 对 双方 均 可 取 到 的 散 列 进行 签名 来 验证 交换 ,各 方 用 自己 的 私 钥 加 密 
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散 列 。 散 列 在 生成 时 使 用 重要 的 参数 ,如 用 户 ID、nonce 等 。 

(2) 公 角 加密。 使 用 发 送 方 的 私 钥 对 参数 (如 ID、nonce) 加 密 来 验证 交换 。 

(3) 对 称 密 钥 加 密 。 使 用 其 他 方法 传送 密 钥 ,再 使 用 该 密 钥 和 对 称 加 密 算法 对 交换 信 
息 加 密 来 验证 交换 。 

3. Oakley 密 钥 交换 

Oakley 规范 包括 许多 协议 允许 的 交换 实例 。 规 范 中 称 为 “主动 密 钥 交换 ”的 实例 只 涉 
及 3 次 报 文 交换 ,具体 步骤 如 下 : 

@ 发 起 者 A 发 送 一 个 在 组 中 使 用 的 Cookie 和 一 个 Diffie-Hellman 公 钥 ,并 声明 在 此 
次 交换 中 使 用 的 公 钥 加 密 算法 、 散 列 算法 和 认证 算法 ,以 及 发 起 者 A 和 响应 者 B 的 标识 、 此 
次 交换 的 A 的 nonce。 最 后 ,A 使 用 自己 的 私 钥 对 两 个 标识 .nonce、 组 、Diffie-Hellman 公 钥 
和 提供 的 算法 进行 签名 ,并 将 签名 附 于 其 后 。 

@ 当 响 应 者 B 接收 到 报 文 时 ,B 使 用 A 的 公开 签名 密 钥 验 证 签名 。 然 后 ,B 将 发 送 一 
个 应 答 报 文 , 此 报 文 包含 从 第 一 个 报 文中 得 到 的 A 的 Cookie、 标 识 和 nonce, 同 时 包含 一 个 
B 的 Cookie,B 的 Diffie-Hellman 公 钥 、 所 选 的 算法 (包含 在 提供 的 算法 中 )、B 的 标识 、B 为 
此 次 交换 准备 的 nonce。 最 后 .B 使 用 B 的 私 钥 对 两 个 标识 、nonce、 组 、 两 个 Diffie-Hellman 
公 钥 和 选择 的 算法 进行 签名 ,并 将 签名 附 于 其 后 。 

@ 当 A 收 到 B 的 应 答 报 文 时 ,使 用 B 的 公 钥 验证 签名 。 报 文中 的 nonce 值 可 以 确保 
这 不 是 一 个 对 旧 消 息 的 重 放 。 为 了 完成 交换 ,A 必须 发 送 一 个 应 答 消 息 给 B, 证 实 A 已 经 
收 到 了 B 的 公 钥 。 此 应 答 消 息 和 第 二 个 报 文 包含 的 内 容 大 致 相同 。 

至 此 ,通信 双方 建立 起 了 一 个 共享 的 密 钥 。 


7.6.2 ISAKMP 


ISAKMP 定义 了 SA 管理 和 Internet 上 密 钥 建立 的 框架 ,规定 了 建立 ,协商 ,修改 和 删 
除 SA 的 过 程 和 报 文 格式 。ISAKMP 定义 了 生成 交换 密 钥 的 载荷 和 认证 数据 。 载 荷 的 格式 
提供 了 传输 密 钥 和 认证 数据 的 一 致 性 框架 ,并 且 独 立 于 特定 密 钥 交换 协议 、 加 密 算法 和 认证 
机 制 。 

ISAKMP 支持 在 所 有 网 络 层 的 安全 协议 (如 IPSec、TLS、TLSP、OSPF 等 ) 的 SA 协商 。 
ISAKMP 通过 集中 管理 SA 减少 了 在 每 个 安全 协议 中 重复 功能 的 数量 。ISAKMP 还 能 通 
过 一 次 对 整个 栈 协议 的 协商 来 减少 建立 连接 的 时 间 。 

1. ISAKMP 头 格式 

ISAKMP 报 文 由 ISAKMP 头 和 一 个 或 多 个 载荷 组 成 ,并 包含 在 传输 协议 之 中 。 
ISAKMP 规范 规定 ,在 实现 时 必须 在 传输 协议 中 支持 UDP。 

ISAKMP 报 文 的 头 格式 如 图 7-13 所 示 . 它 由 以 下 域 组 成 : 

。 发 起 者 Cookie(64 位 ): 发 起 SA 创建 .SA 通知 或 SA 删除 的 实体 的 Cookie。 

。 响应 者 Cookie(64 位 ): 应 答 实体 的 Cookie. 在 发 起 者 的 第 一 个 报 文中 为 空 。 

。 邻接 载荷 (8 位 ): 表明 报 文 中 第 一 个 载荷 的 类 型 。 

。 主 版 本 号 (4 位 ): 指明 使 用 的 ISAKMP 的 主 版 本 号 。ISAKMP 相关 的 RFC 规定 ， 

此 字段 设置 为 1。 
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位 0 8 16 24 31 
2 
四 发 起 者 Cookie 1 
-一 响应 者 Cookie 一 | 才 
邻接 载 谷 ”| 未 车 | 全 | 交换 类 型 标志 
报 文 标识 
长 度 
(a) ISAKMP 头 
位 : 0 16 31 
邻接 载荷 邻接 载荷 载荷 长 度 
(b) 一 般 的 载荷 头 
图 7-13 ISAKMP 格式 

。 从 版 本 号 (4 位 ): 指明 使 用 的 ISAKMP 的 从 版 本 号 。ISAKMP 相关 的 RFC 规定 ， 
从 版 本 号 也 设置 为 1。 

。 交换 类 型 (8 位 ) : 表明 交换 类 型 ,说明 在 ISAKMP 交换 中 消息 和 负载 的 顺序 。 

。 标志 (8 位 ): ISAKMP 交换 的 选项 集合 。 在 标志 字段 中 ,从 最 低 有 效 位 开始 定义 标 
志 : 加 密 位 是 标志 字段 的 第 0 位 , 当 跟 在 ISAKMP 报头 后 面 的 所 有 载荷 都 使 用 此 
SA 的 加 密 算法 加 密 , 则 设置 加 密 位 为 1; 提交 位 是 第 1 位 .在 SA 创建 完成 之 前 没 
有 接收 到 任何 加 密 消 息 时 设置 提交 位 为 1。 其 他 位 在 传输 之 前 必须 设置 为 0。 

。 报 文 标识 (32 位 ): 报 文 的 唯一 标识 。 

。 长度 (32 位 ): 报 文 ( 头 十 所 有 载荷 ) 总 的 字 节 长 度 。 

2. ISAKMP 载荷 类 型 


所 有 ISAKMP 载荷 开始 于 如 图 7. 12(b) 所 示 的 载荷 头 。 而 报 文中 最 后 一 个 载荷 的 邻 
接 载荷 域 的 值 为 0。 载荷 长 度 域 标明 载荷 头 的 该 载荷 字 节 长 度 。 
表 7-3 总 结 了 在 ISAKMP 中 定义 的 载荷 类 型 ,列举 了 每 种 载荷 的 部 分 域 和 参数 。 


表 7-3 ISAKMP 载荷 类 型 


类 型 参 。 数 描述 
- 用 于 协商 安全 属性 和 表明 协议 发 于 的 
安全 关联 (SA) 解释 和 位 置 域 DOI 和 位 置 
建议 (P) 建议 号 .协议 标识 .SPI 大 小 .转换 号 .SPI SA 协商 中 标 四 使 用 的 协 说 和 转 
S 中 标量 的 

转换 CT) 转换 号 .转换 标识 .SA 属性 ee Sn 
密 负 交换 (KE) | 密 负 交换 数据 支持 各 神 密 角 交 换 技术 
标识 CID) 标识 类 型 .标识 数据 用 于 交换 标识 信息 
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续 表 

证 书 (CERT) 证 书 编码 .证 书 数据 用 于 传输 证 书 和 其 他 与 证 书 相 关 的 信息 
证 书 请 求 (CR) 证 书 类 型 号 .证书 类 型 .证 书 认 证 号 .认证 用 于 请 求证 书 * 标 明 所 请 求证 书 的 类 型 

机 构 和 可 接受 的 认证 机 构 
散 列 (HASH) 散 列 数据 散 列 函 数 生成 的 数据 
签名 (SIG) 签名 数据 数字 签名 函数 生成 的 数据 
Nonce(NONCE) | nonce 数据 包含 nonce 
2 DOI. 协 议 标 识 、SPI 大 小 、 通 知 报 文 类 型 、 i a 
通知 (N) 通知 数据 用 于 传输 通知 数据 .如 出 错 条 件 

DOI. 协 议 标 识 、SPI 大 小 、SPI 号 一 个 或 i a 

标明 一 个 再 合 

删除 (D) 多 个 SPI 标明 一 个 SA 不 再 合法 


(1) SA 载荷 用 于 开始 创建 一 个 SA .其 中 的 解释 域 参 数 定义 了 协商 发 生 的 DOI 标识 ; 
位 置 参 数 定义 了 协商 使 用 的 安全 策略 ,而 加 密 和 保密 的 安全 级 别 可 以 规定 (如 敏感 级 、 安 全 
间隔 等 )。 协 商 将 在 这 些 参 数 的 控制 下 进行 。 

(2) 建议 载荷 包含 了 SA 协商 中 需要 使 用 的 信息 。 该 载荷 表明 了 SA(ESP 或 AH) 协商 
使 用 的 协议 、 服 务 和 机 制 。 此 载荷 还 包括 发 送 实体 的 SPI 和 转换 次 数 。 每 个 转换 包含 在 转 
换 载荷 之 中 。 发 起 者 可 以 通过 使 用 多 个 转换 载荷 来 提供 多 种 可 能 性 ,而 响应 者 可 以 从 中 选 
择 一 个 或 予以 拒绝 。 

(3) 转换 载荷 定义 了 用 于 保护 指定 协议 通信 通道 的 安全 转换 方式 ,参数 转换 号 用 于 标 
识 该 载荷 ,使 得 响应 者 可 以 使 用 它 来 表示 接受 了 该 转换 方式 ; 转换 标识 和 属性 域 标识 了 特 
定 的 转换 (如 ESP 使 用 的 3DES,AH 使 用 的 HMAC-SHA-1-96) 和 与 之 相 联系 的 属性 ( 散 列 
长 度 ) 。 

(4) 密 钥 交换 载荷 可 以 支持 各 种 各 样 的 密 钥 交换 技术 ,包括 Oakley、Diffie-Hellman 和 
PGP 使 用 的 基于 RSA 的 密 钥 交换 。 密 钥 交 换 数 据 域 包括 生成 会 话 密 钥 所 需 的 数据 ,与 所 
使 用 的 密 钥 交换 算法 相关 。 

(5) 标识 载荷 用 于 确定 通信 伙伴 身份 的 标识 和 使 用 的 认证 信息 。 一 般 , 标 识 数据 域 包 
含 IPv4 或 IPv6 地 址 。 

(6) 证 书 载荷 提供 了 通过 ISAKMP 传送 公 钥 证 书 的 手段 ,能 够 出 现在 任何 ISAKMP 
消息 中 。 证 书 编码 域 标明 证 书 类 型 或 与 证 书 相 关 的 如 下 信息 : 

。 PKCS#7 限制 的 X. 509 证 书 ; 

。 PGP 证 书 ; 

。 DNS 签名 密 钥 ; 

。 X. 509 签名 证 书 ; 

。 X. 509 密 钥 交换 证 书 ; 

。 Kerberos 令 牌 ; 

。 证 书 撤销 表 (CRL); 

。 认 证 撤销 表 (ARL); 

。 SPKI 证 书 。 
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在 任何 ISAKMP 交换 中 ,发 送 方 可 以 使 用 证 书 请 求 载荷 去 请 求 其 他 通信 实体 的 证 书 。 
载荷 必须 列举 可 接受 的 多 种 证 书 类 型 和 可 接受 的 多 个 认证 机 构 CA。 

(7) 散 列 载荷 包含 由 散 列 函数 根据 部 分 报 文 和 /或 ISAKMP 状态 生成 的 数据 。 此 载荷 
用 于 验证 报 文中 数据 的 完整 性 或 认证 正在 与 之 对 话 的 实体 。 

(8) 签名 载荷 包含 由 数字 签名 函数 根据 部 分 报 文 和 /或 ISAKMP 状态 生成 的 数据 。 此 
载荷 用 于 验证 报 文中 数据 的 完整 性 或 提供 不 可 抵赖 服务 。 

(9) nonce 载荷 包含 用 于 交互 的 随机 数据 ,以 防止 重 放 攻 击 。 

(10) 通知 载荷 包含 与 SA 或 SA 协商 相关 的 出 错 或 状态 信息 ,ISAKMP 定义 了 以 下 出 
错 报 文 ， 


Invalid Payload Type Invalid Protocol ID Invalid Cert Encoding 
DOI Not Supported Invalid SPI Invalid Certificate 
Situation Not Supported Invalid Transform ID Bad Cert Request Syntax 
Invalid Cookie Attributes Not Supported Invalid Cert Authority 
Invalid Major Version No Proposal Chosen Invalid Hash Information 
Invalid Minor Version Bad Proposal Syntax Authentication Failed 
Invalid Exchange Type Payload Malformed Invalid Signature 

Invalid Flags Invalid Key Information Address Notification 


Invalid Message ID 

目前 定义 的 ISAKMP 状态 报 文 只 有 连接 报 文 。 另 外 ,还 使 用 了 一 些 ISAKMP 通知 、 
DOI 通知 。IPSec 定义 了 如 下 的 状态 报 文 : 

。 响应 者 生命 期 : 响应 者 选择 的 SA 生命 期 。 

。 重 放 状态 : 响应 者 选择 是 否 执 行 反 重 放 检 测 的 确认 。 

。 初始 联系 : 通知 对 方 这 是 与 远程 系统 建立 联系 的 第 一 个 SA, 收 到 这 个 通知 的 接收 

方 可 以 假设 发 送 系 统 重新 启动 ,不 再 需要 以 前 的 SA ,并 从 该 系统 中 删除 。 

删除 截 荷 表明 发 送 方 将 一 个 或 多 个 SA 从 它 的 数据 库 中 删除 ,从 而 不 再 合法 。 

3. ISAKMP 交换 

ISAKMP 允许 为 SA 建立 和 密 钥 协商 而 创建 交换 。 交 换 定义 了 对 等 实体 之 间 通 信 过 程 
中 ISAKMP 消息 的 内 容 和 顺序 。ISAKMP 提供 了 一 个 带 有 载荷 类 型 的 报 文 交换 框架 , 定 
义 了 5 种 默认 的 交换 类 型 ,如 表 7-4 至 表 7-8 所 示 。 表 中 .SA 指 与 协议 和 转换 载荷 相关 的 
SA 载荷 。 绝 大 多 数 交 换 包 括 所 有 的 基本 载荷 类 型 : SA 载荷 、 密 钥 交换 载荷 .身份 载荷 、 签 
名 载荷 等 。 交 换 之 间 的 差别 主要 是 消息 的 顺序 和 每 一 个 消息 内 载荷 的 次 序 。 


表 7-4 基本 交换 类 型 


2 换 注 释 
(1) IT>~R: SA; NONCE 开始 ISAKMP-SA 协商 
(2) R—>I: SA; NONCE 基本 SA 建立 
(3) I™>R: KE; ID AUTH 生成 密 钥 ; 响应 者 验证 的 发 起 者 标识 


(4) R>I: KE; IDr; AUTH 发 起 者 验证 的 响应 者 标识 ; 生成 密 钥 ; SA 建立 
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表 7-5 身份 保护 交换 类 型 


交 换 注 释 
(C1) ER: SA 开始 ISAKMP-SA 协商 
(2) R—>I: SA 基本 SA 建立 
(3) [~R: KE; NONCE 生成 密 钥 
(4) R>I: KE; NONCE 生成 密 钥 
(5) * I™>R: IDt; AUTH 响应 者 验证 的 发 起 者 标识 
(6) x* R>I: IDr; AUTH 发 起 者 验证 的 响应 者 标识 ; SA 建立 


表 7-6 单 认 证 交换 类 型 


交 换 注释 

(1) IT>~R: SA; NONCE 开始 ISAKMP-SA 协商 

(2) R>I: SA; NONCE; IDr; AUTH 基本 SA 建立 ; 发 起 者 验证 的 响应 者 标识 
(3) I™>R: IDI; AUTH 响应 者 验证 的 发 起 者 标识 ; SA 建立 


表 7-7 主动 交换 类 型 


交 换 注 释 
(1) IT~R: SA; KE; NONCE; ID 开始 ISAKMP-SA 协商 和 密 钥 交换 
(2) R>I: SA; KE; NONCE; IDr; AUTH 响应 者 验证 的 发 起 者 标识 ; 生成 密 钥 ; 基本 SA 建立 
(3) * I>R: AUTH 发 起 者 验证 的 响应 者 标识 ; SA 建立 


表 7-8 信息 交换 类 型 
x 换 注 释 
*I>R: N/D 出 错 通 知 或 状态 通知 或 删除 
注 : I 为 发 起 者 ,R 为 响应 者 , * 为 加 密 ISAKMP 报头 后 的 载荷 ,AUTH 为 认证 机 制 使 用 。 


(1) 基本 交换 支持 密 钥 交换 和 认证 数据 一 起 传送 .减少 了 交换 的 次 数 , 但 代价 是 不 提供 
标识 保护 。 头 两 个 报 文 提供 Cookie, 建 立 达 成 一 致 协议 和 转换 的 SA ,双方 使 用 nonce 阻止 
重 放 攻击 。 最 后 两 个 报 文 交换 密 钥 和 用 户 标 识 . 使 用 从 头 两 个 报 文中 得 到 的 认证 密 钥 、 标 识 
和 nonce 的 认证 载荷 。 

(2) 身份 保护 交换 通过 提供 用 户 标识 扩展 了 基本 交换 ,支持 密 钥 交换 信息 和 认证 信息 
的 分 离 。 头 两 个 报 文 建立 SA , 接 下 来 的 两 个 报 文 使 用 nonce 提供 反 重 放 保 护 ,执行 密 钥 交 
换 , 一 旦 计算 出 会 话 密 钥 ,双方 则 交换 包括 数字 签名 、 公 钥 证 书 等 内 容 的 认证 信息 。 密 钥 交 
换 信 息 和 认证 信息 的 分 离 提 供 了 通信 身份 保护 .但 增加 了 两 条 消息 。 

(3) 单 认 证 交换 用 于 仅仅 传输 认证 信息 ,而 不 进行 密 钥 交换 ,好 处 是 提供 了 认证 的 能 力 
而 无 需 付 出 计算 密 钥 的 代价 。 头 两 个 报 文 建立 SA。 另外 .响应 者 使 用 第 2 个 报 文 传输 它 的 
标识 ,并 使 用 认证 保护 。 发 起 者 发 送 第 三 个 报 文 传送 其 认证 标识 。 

(4) 主动 交换 支持 将 SA、 密 钥 交 换 和 认证 相关 的 信息 一 起 传输 ,好 处 是 减少 了 消息 往 
返 次 数 ,从 而 交换 的 次 数 最 少 , 代 价 是 不 提供 标识 保护 。 第 1 个 报 文 由 发 起 者 提供 一 个 带 协 
议和 转换 选项 的 SA ,同时 开始 密 钥 交换 并 提供 它 的 标识 。 在 第 2 个 报 文 中 ,响应 者 在 确认 
接收 到 SA 的 报 文 时 ,表明 它 所 接收 的 协议 和 转换 ,完成 密 钥 交换 和 对 传送 信息 的 认证 。 第 
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3 个 报 文 由 发 起 者 使 用 共享 的 会 话 密 钥 对 先前 接收 的 信息 加 密 , 发 回 认 证 结果 。 
(5) 信息 交换 用 于 单 向 传输 SA 管理 信息 。 


7.6.3 IKE 的 阶段 


IKE 定义 了 两 个 阶段 的 ISAKMP 交换 。 阶 段 1 建立 IKE SA ,对 通信 双方 进行 双向 身 
份 认证 ,并 建立 会 话 密 钥 ; 阶段 2 使 用 阶段 1 的 会 话 密 钥 ,建立 一 个 或 多 个 ESP 或 AH 使 
用 的 SA。IKE SA 定义 了 双方 的 通信 形式 ,如 使 用 哪 种 算法 来 加 密 IKE 通信 ,怎样 对 远程 
通信 方 的 身份 进行 验证 等 。 随 后 , 便 可 用 IKE SA 在 通信 双方 之 间 建 立 任何 数量 的 IPSec 
SA。 因 此 ,在 具体 的 IPSec 实现 中 ,IKE SA 保护 IPSec SA 的 协商 ,IPSec SA 保护 最 终 的 网 
络 中 的 数据 流量 。 


1. IKE 阶段 1 
阶段 1 的 交换 有 两 种 模式 : 积极 模式 和 主 模 式 , 如 图 7-14 所 示 。 
消息 1 crypto suites supported 
消息 2 crypto suites chosen 
消息 3 emodp 站 
发 起 方 A | 消息 4 pp 响应 方 B 
消息 5 Sed mod p{IDa,proof Iam A} 
消息 6 sad mod p{IDB,proof T am B} 
(a) 主 模式 
消息 1 2 mod p.IDa,crypto proposal 
发 起 方 A | 消息 2 gb mod p.IDe.crypto choice, Proof1am B | 响应 方 B 
消息 3 proof 1 am A 网 
(b) 积极 模式 


7-14 ”IKE 阶段 1 的 模式 


积极 模式 (aggressive mode) 使 用 3 条 消息 完成 ,前 两 条 消息 是 Diffie-Hellman 交换 ,用 
于 建立 会 话 密 钥 ; 消息 2 和 消息 3 完成 了 双向 认证 。 在 消息 1 中 ,发 起 方 可 以 提议 密码 算 
法 。 但 是 因为 发 起 方 还 要 发 送 一 个 Diffie-Hellman 数 , 所 以 必须 指定 一 种 唯一 的 Diffie- 
Hellman 组 ,并 期 望 响应 方 能 够 支持 。 如 果 不 能 支持 , 则 响应 方 会 拒绝 本 次 链接 请 求 ,而 且 
不 会 告诉 发 起 方 自己 能 够 支持 的 算法 。 

主 模式 则 需要 6 条 消息 。 在 第 一 对 消息 中 :发 起 方 发 送 一 个 Cookie 并 请 求 对 方 的 密码 
算法 ,响应 方 回应 自己 的 Cookie 和 能 够 接受 的 密码 算法 。 消 息 3 和 消息 4 是 一 次 Diffie- 
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Hellman 交换 过 程 。 消 息 5 和 消息 6 用 消息 3 和 消息 4 商定 的 Diffie-Hellman 数值 进行 加 
密 , 完 成 双向 身份 认证 的 过 程 。 主 模式 可 以 协商 所 有 密码 参数 : 加 密 算法 、 散 列 算法 、 认 证 
方式 和 Diffie-Hellman 组 ,由 发 起 方 提议 ,响应 方 选择 。IKE 为 每 类 密码 参数 规定 了 必须 实 
现 的 算法 ,加 密 算法 必须 支持 DES, 散 列 算法 要 实现 MD5 ,认证 方式 要 支持 预先 共享 密 钥 的 
方式 ,Diffie-Hellman 组 则 是 特定 的 g 和 zp 的 模 指数 。 

积极 模式 的 消息 2 和 消息 3 、 主 模式 的 消息 5 和 消息 6 都 包含 一 个 身份 证 据 , 用 于 证 明 
发 送 方 知道 与 其 身份 相关 的 秘密 ,同时 作为 以 前 发 送 的 消息 的 完整 性 保护 。 在 IKE 中 , 身 
份 证 据 随 着 认证 方式 的 不 同 而 不 同 。IKE 阶段 1 可 以 接受 的 认证 方法 包括 预先 共享 的 秘密 
密 钥 、 加 密 公 钥 、 签 名 公 钥 等 。 通 常 ,身份 证 据 由 某 种 密 钥 的 散 列 值 、Diffie-Hellman 值 、 
Nonce、Cookie 等 构成 。 

2. IKE 阶段 2 


IKE 阶段 2 定义 了 快速 交换 模式 ,用 于 建立 ESP 和 AH 的 SA。 人 快速 模式 包含 3 条 消 
息 ,能 够 协商 IPSec SA 的 参数 ,如 图 7-15 所 示 。 


消息 1 马上 CP.traffic.SPIA.NonceA,[ga mod p] 
二 | 


发 起 方 A | . 
发 起 广 消息 2 XY.CPA,traffic,SPlp,Nonces,[gt mod p] 


响应 方 B 


消息 3 XVACK 


7-15 IKE 阶段 2 的 快速 模式 


其 中 ,X 代表 阶段 1 中 生成 的 Cookie 对 ; Y 代表 阶段 2 中 发 起 方 选择 的 32 比特 数 , 用 
于 区 分 阶段 2 中 的 不 同 会 话 ; CP 代表 发 起 方 提议 的 密码 参数 ,CPA 则 代表 响应 方 选择 的 
密码 参数 ; trafic 代表 通信 流 类 型 ,用 来 限制 通过 该 IPSec SA 传输 的 通信 流 ; [] 代 表 此 字段 
是 可 选 的 。 快 速 模式 中 的 所 有 消息 中 ,除了 X 与 了 ,消息 其 余部 分 都 用 阶段 1 中 IKE SA 的 
加 密 密 钥 进行 加 密 ,并 用 IKE SA 的 完整 性 保护 密 钥 进 行 完 整 性 保护 。 


第 8 章 Webp 安 全 性 


从 Internet 诞生 阶段 开始 , World Wide Web 就 是 互联 网 上 最 重要 、 最 广泛 的 应 用 之 
一 。 随 着 Internet 的 发 展 和 普及 ,当前 几乎 所 有 的 商业 机 构 、 多 数 政府 机 构 和 许多 个 人 都 建 
设 了 自己 的 Web 站 点 。 越 来 越 多 的 公司 热衷 于 在 Web 上 开展 电子 商务 ,政府 部 门 逐 渐 开 
展 基 于 Web 的 电子 政务 ,许多 个 人 都 会 在 Web 上 进行 交易 。 网 络 交 易 、 网 络 银行 .电子 政 
务 、 网 络 事务 处 理 等 业务 的 兴起 ,拓展 了 Web 应 用 的 领域 。 另 一 方面 ,Internet 和 Web 容易 
受到 攻击 ,Web 的 安全 性 问题 日 益 突 出 。2007 年 初 ,全 美 RSA 安全 大 会 就 得 出 了 “Web 应 
用 安全 代替 网 络 安 全 成 为 全 球 最 大 安全 威胁 ”的 结论 。 为 了 保证 Web 的 安全 ,安全 Web 服 
务 应 运 而 生 。 

Web 安全 性 非常 广泛 ,本章 首先 讨论 Web 安全 性 的 普遍 需求 ,然后 集中 讨论 两 种 应 用 
于 Web 商业 的 标准 模式 : SSL/TLS 和 SET。 


8.1 Web 安全 性 概述 


WWW 本 质 上 是 一 种 运行 于 互联 网 和 TCP/IP 上 的 一 种 客户 /服务 器 程序 。Web 带 来 
了 与 一 般 计 算 机 和 网 络 安全 不 太一 样 的 挑战 : 

(1) Web 越 来 越 多 地 作为 商业 信息 的 发 布 窗口 以 及 商务 交易 的 平台 。 如 果 Web 服务 
器 被 破坏 ,就 可 能 发 生 信誉 受 损 和 金钱 失窃 等 问题 。 

(2) Web 浏览 器 非常 易于 使 用 ,Web 服务 器 相对 而 言 易 于 配置 和 管理 , Web 内容 也 
易于 开发 ,但 其 底层 的 软件 却 非 常 复杂 。 复 杂 的 软件 可 能 隐藏 着 潜在 的 安全 漏洞 。 在 
Web 使 用 的 短 短 历 史 中 , 各 种 新 的 和 升级 的 系统 容易 受到 各 种 各 样 的 安全 性 攻击 。 

(3) Web 服务 器 通常 作为 公司 或 机 构 整 个 计算 机 系统 的 核心 。 一 旦 Web 服务 器 被 攻 
陷 , 攻 击 者 不 仅 可 以 访问 Web 服务 .也 可 获得 与 之 相连 的 整个 本 地 站 点 服务 器 的 数据 和 系 
统 访 问 权限 。 

(4) 通常 基于 Web 服务 的 用 户 是 一 些 突 发 的 .未 受训 练 的 用 户 , 这 些 用 户 不 需要 知道 
隐藏 在 服务 背后 的 安全 隐患 ,因此 也 没有 有 效 防 范 的 工具 和 知识 。 

表 8-1 总 结 了 在 使 用 Web 时 将 要 面临 的 一 些 威胁 安全 的 类 别 。 

为 了 提供 Web 安全 性 ,人 们 设计 了 许多 的 方法 ,如 图 8-1 所 示 。 这 些 方法 的 使 用 机 理 
是 相似 的 ,只 是 各 自 的 应 用 范围 及 在 TCP/IP 协议 栈 中 的 相对 位 置 不 同 。 

IPSec 是 提供 Web 安全 性 的 一 种 方法 .如 图 8-1(a) 所 示 。 使 用 IPSec 的 优点 在 于 . 它 对 
终端 用 户 和 应 用 均 是 透明 的 ,并 且 提 供 通 用 的 解决 方案 。 另 外 ,IPSec 还 具有 过 滤 功 能 ,可 
以 仅 用 IPSec 处 理 所 选 的 流量 。 需 要 指出 的 是 .IPSec 要 求 改变 操作 系统 ,以 便 在 协议 栈 中 
实现 IPSec。 
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表 8-1 Web 上 威胁 的 比较 


威胁 后 果 对 策 
。 修改 用 户 数据 
- 。 信 息 丢 失 
完整 性 a 。 机 器 损害 加 密 的 校 验 和 
十 关 症 二 是 。 易 受 所 有 其 他 威胁 的 攻击 
。 网 上 窃听 
。 盗 取 服务 器 数据 
保密 性 “| 。 盗 取 客户 端 数据 a 加 密 、Web 代理 
。 盗 取 网 络 配置 信息 
。 盗 取 客 户 端 与 服务 器 通话 信息 
。 破坏 用 户 线程 人 
拒绝 服务 | ”用 假 消息 使 机 器 溢出 i 让 
。 填 满 硬盘 或 内 存 A 
。 使 用 DNS 攻击 来 孤立 机 器 2 
。 伪装 成 合法 用 户 。 用 户 错误 四 
认证 。 | 。 仿造 数据 。 相 信和 虚假 信息 吉 册 村 人 
HTTP| FTP |SMTP SET 
HTTP| FTP [smre SSL/TLS Kerberos| 。 SMTP HTTP 
TCP TCP UDP TCP 
IP/IPSec IP IP 
(a) 网 络 层 (b) 传输 层 (©) 应 用 层 


图 8-1 安全 功能 在 TCP/IP 协议 栈 中 的 位 置 


另 一 种 解决 方案 是 在 TCP 之 上 实现 安全 性 ,如 图 8-1(b) 所 示 。 这 种 方法 最 先 的 例子 是 
安全 套 接 层 (Secure Socket Layer, SSL). 接 着 是 称 为 传输 层 安全 协议 (Transport Layer 
Security,TLS) 的 互联 网 标准 。 此 时 ,有 两 种 实现 方法 ,一 般 来 说 ,SSL( 或 TLS) 可 以 作为 潜 
在 的 协议 对 应 用 透明 .也 可 以 在 特定 包 中 使 用 ,如 Netscape 和 了 IE 浏览 器 均 提供 SSL, 大 多 
数 Web 服务 器 都 实现 了 此 协议 。 

一 些 特定 应 用 也 实现 了 特定 的 安全 服务 .图 8. 1(c) 是 一 个 示意 图 。 这 种 方法 的 好 处 在 
于 它 是 为 给 定 应 用 定制 的 ,在 Web pe mid 


8.2 安全 套 接 层 和 传输 层 的 安全 


安全 套 接 层 (Secure Socket Layer, SSL) 协 议 最 初 是 由 Netscape 公司 于 1994 年 设计 
的 ,主要 目标 是 为 Web 通信 协议 一 一 HTTP 提供 保密 和 可 靠 通信 。SSL 协议 的 第 一 
熟 版 本 是 SSL 2.0, 于 1994 年 11 月 首次 公开 发 表 , 并 于 1995 年 3 月 被 集成 到 Netscape 公 
司 的 产品 中 .包括 Navigator 1.1 浏览 器 和 Web 服务 器 产品 等 。 

1996 年 Netscape 公司 发 布 了 SSL 3.0, 该 版 本 发 明了 一 种 全 新 的 规格 描述 语言 ,以 及 
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一 种 全 新 的 记录 类 型 和 数据 编码 ,还 弥补 了 加 密 算 法 套件 反 转 攻击 这 个 安全 漏洞 。SSL 3. 0 
与 SSL 2. 0 是 向 后 兼容 的 。SSL 3. 0 相 比 SSL 2. 0 更 加 成 熟 和 稳定 ,因此 很 快 成 为 事实 上 
的 工作 标准 。 

1997 年 ,IETF 基于 SSL 协议 发 布 了 传输 层 安 全 (Transport Layer Security, TLS) 协 议 的 
Internet Draft。1999 年 ,IETF 正式 发 布 了 关于 TLS 的 RFC 2246。TLS 是 IETF 的 TLS 工作 
组 在 SSL 3.0 基础 之 上 提出 的 ,最 初版 本 是 TLS 1. 0, 最 新 版 本 是 2006 年 发 布 的 TLS 1. 1。 
TLS 1.0 可 看 作 SSL 3.1, 它 和 SSL 3.0 的 差别 不 大 , 且 考 虑 了 和 SSL 3.0 的 兼容 性 。 

SSL/TLS 被 设计 为 在 TCP 协议 栈 的 第 4 层 之 上 ,使 得 该 协议 可 以 被 部 署 在 用 户 级 进 
程 中 ,而 不 需要 对 操作 系统 进行 修改 。 使 用 TCP 协议 而 不 是 UDP 协议 ,使 得 SSL/TLS 更 
加 简单 ,因为 不 需要 考虑 超时 和 数据 丢失 重 传 的 问题 ,因为 TCP 已 经 处 理 了 这 些 问 题 。 使 
用 TCP 提供 的 可 靠 的 数据 流 服 务 ,SSL/TLS 对 传输 的 数据 不 加 变更 ,只 是 分 割 成 带 有 报 文 
头 和 密码 学 保护 的 记录 ,一 端 写 入 的 数据 完全 是 另 一 端 读 取 的 内 容 , 这 种 透明 性 使 得 几乎 所 
有 基于 TCP 的 协议 稍 加 改动 就 可 以 在 SSL 上 运行 。 

SSL/TLS 协议 是 一 个 基于 PKI 的 网 络 数据 安全 协议 ,可 以 在 客户 端 和 服务 器 之 间 建 
立 一 个 安全 的 网 络 通道 。SSL/TLS 协议 提供 的 服务 具有 以 下 三 个 特性 : 

(1) 保密 性 。 在 初始 化 连接 后 ,数据 以 双方 商定 的 密 钥 和 加 密 算法 进行 加 密 , 以 保证 其 
机 密 性 ,防止 非法 用 户 破译 。 

(2) 认证 性 。 协 议 采 用 非 对 称 密码 体制 对 对 端 实体 进行 鉴别 ,使 得 客户 端 和 服务 器 端 
确信 数据 将 被 发 送 到 正确 的 客户 机 和 服务 器 上 。 

(3) 完整 性 。 协 议 通 过 采用 散 列 函数 来 处 理 消 息 ,提供 数据 完整 性 服务 。 

SSL 支持 具有 各 种 密 钥 长 度 的 各 种 各 样 的 算法 ,选择 一 种 攻击 来 攻破 它 所 花费 的 代价 
远 高 于 数据 价值 。 同 时 ,SSL 可 以 抵挡 住 监听 和 中 间 人 攻击 流量 数据 分 析 攻 击 、 截 取 再 拼 
接 攻击 ` 短 包 攻 击 和 报 文 重 放 攻 击 等 。 

本 节 将 主要 讨论 SSL v3 ,然后 介绍 SSL v3 和 TLS 的 主要 区 别 。 


8.2.1 SSL 体系 结构 


1. SSL 协议 分 层 模 型 


SSL 是 一 个 中 间 层 协议 , 它 位 于 TCP/IP 层 和 应 用 层 之 间 , 为 TCP 提供 可 靠 的 端 到 端 
安全 服务 。SSL 不 是 简单 的 单个 协议 而 是 两 层 协议 ,如 图 8-2 所 示 。 


SSL 区 这 


SSL 
握手 协议 | 码 规范 协议 | 警报 协议 | HTP 


SSL 记 录 协 议 


TCP 


iF 


图 8-2 SSL 协议 的 分 层 模 型 
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在 底层 ,SSL 记录 层 协 议 建 立 在 某 一 可 靠 的 传输 协议 ,如 TCP 协议 .之 上 ,基于 此 可 靠 
的 传输 协议 向 上 层 提供 机 密 性 、 真 实 性 和 重复 的 保护 。 发 送 时 .SSL 记录 协议 接收 上 层 应 
用 消息 ,将 数据 分 段 为 可 管理 的 块 、 可 选择 地 压缩 数据 、 应 用 MAC、 加 密 、 添 加 一 个 头 部 ,并 
将 结果 传送 给 TCP。 接 收 到 的 数据 则 被 解密 、 验 证 、 解 压缩 、 重 组 后 交付 给 高 层 。 记 录 层 上 
有 3 个 高 层 协议 : SSL 握手 协议 、SSL 密码 修改 协议 和 SSL 报警 协议 。 握 手 协 议 允 许 客户 
端 和 服务 器 彼此 认证 对 方 ,并 且 在 应 用 协议 发 出 或 收 到 第 一 个 数据 之 前 协商 加 密 算法 和 加 
密 密 钥 。 这 样 做 的 原因 是 保证 了 应 用 协议 的 独立 性 ,使 低层 协议 对 高 层 协议 是 透明 的 。 为 
Web 客户 端 服务 器 交互 提供 传送 服务 的 HTTP 协议 可 以 在 上 层 访问 SSL 记录 协议 。 
SSL 中 包含 两 个 重要 概念 : SSL 会 话 和 SSL 连接 。 
2，SSL 会 话 
SSL 会 话 是 一 个 客户 端 和 服务 器 间 的 关联 ,会 话 是 通过 握手 协议 创建 的 ,定义 了 一 组 
密码 安全 参数 ,这 些 密 码 安全 参数 可 以 由 多 个 连接 共享 。 会 话 可 用 于 减少 为 每 次 连接 建立 
安全 参数 的 昂贵 协商 费用 。SSL 会 话 协调 服务 器 和 客户 端的 状态 。 
每 个 会 话 具 有 多 种 状态 。 一 旦 会 话 建立 , 则 进入 针对 读 和 写 ( 即 接收 和 发 送 ) 的 当前 操 
作 状 态 。 在 握手 协议 中 创建 了 读 挂 起 状态 和 写 挂 起 状态 。 在 握手 协议 成 功 完成 后 , 挂 起 状 
态 成 为 当前 状态 。 
一 个 会 话 状态 由 以 下 参数 定义 (参见 SSL 规范 ): 
。 会 话 标识 符 : 一 个 由 服务 器 生成 的 数值 ,用 于 标识 活动 的 或 恢复 的 会 话 状 态 。 
。 对 等 实体 证 书 : 对 等 实体 的 一 个 X509. v3 证 书 ,此 状态 元 素 可 以 为 空 (NULL)。 
。 压缩 方法 : 在 加 密 前 使 用 的 压缩 数据 的 算法 。 
。 密码 规范 : 描述 了 大 量 数据 的 加 密 算法 (如 NULL,AES 等 ) 和 用 于 计算 MAC 的 散 
列 算法 (如 MD5 或 SHA-1) ,同时 也 定义 如 散 列 值 大 小 等 密码 学 属性 。 
。 主 密码 : 一 个 由 客户 端 和 服务 器 共享 的 48 字 节 的 秘密 数值 ,提供 用 于 生成 加 密 密 
钥 .MAC 秘密 和 初始 化 向 量 IV 的 秘密 数据 。 
。 可 恢复 性 标志 : 一 个 标志 .表明 会 话 能 否 用 于 初始 化 一 个 新 的 连接 。 
3. SSL 连接 
连接 是 提供 合适 服务 类 型 的 一 种 传输 (OSI 层次 模型 定义 ) 。 对 SSL 来 说 ,连接 表示 的 
是 对 等 网 络 关 系 , 且 连接 是 短暂 的 ; 而 会 话 具有 较 长 的 生命 周期 ,在 一 个 会 话 中 可 以 建立 多 
个 连接 ,每 个 连接 与 一 个 会 话 相 关 。 这 是 因为 SSL/TLS 被 设计 为 与 HTTP 1.0 协同 工作 ， 
而 HTTP 1.0 协议 具有 可 在 客户 端 和 Web 服务 器 之 间 打 开 大 量 TCP 连接 的 特点 。 
连接 状态 可 用 以 下 参数 定义 : 
。 服务 器 和 客户 端 随 机 数 : 一 个 服务 器 和 客户 端 为 每 个 连接 选择 的 随机 字 节 序列 。 
。 服务 器 写 MAC 密码 : 一 个 服务 器 发 送 数 据 时 在 MAC 操作 中 使 用 的 密 钥 。 
。 客户 端 写 MAC 密码 : 一 个 客户 端 发 送 数 据 时 在 MAC 操作 中 使 用 的 密 钥 。 
。 服务 器 写 密 钥 : 一 个 服务 器 加 密 和 客户 端 解密 数据 时 使 用 的 常规 的 密 钥 。 
。 客户 端 写 密 钥 : 一 个 客户 端 加 密 和 服务 器 解密 数据 时 使 用 的 常规 的 密 钥 。 
。 初始 化 向 量 IV: 当 使 用 CBC 模式 的 分 组 密码 时 .需要 为 每 个 密 钥 维护 一 个 IV。 该 
字段 首先 由 SSL 握手 协议 初始 化 ,其 后 .每 个 记录 的 最 后 一 个 密 文 分 组 被 保存 ,以 
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作为 下 一 个 记录 的 IV。 在 加 密 之 前 ,IV 与 第 一 个 明文 分 组 做 异 或 运算 。 

。 序列 号 : 会 话 的 各 方 为 每 个 连接 传送 和 接收 消息 维护 一 个 单独 的 序列 号 。 当 接收 
或 发 送 一 个 修改 密码 规范 协议 报 文 时 ,消息 序列 号 被 设 为 0。 序列 号 不 能 超过 
2 

4. SSL 基本 流程 

简化 的 SSL 协议 如 图 8-3 所 示 。 在 基本 流程 中 ,客户 端 A 发 起 与 服务 器 B 的 连接 , 然 

后 BB 把 自己 的 证 书 发 送 给 A。A 验证 B 的 证 书 ,从 中 提取 B 的 公 钥 ,然后 选择 一 个 用 来 计 
算 会 话 密 钥 的 随机 数 , 将 其 用 B 的 公 钥 加 密 发 送 给 B。 基 于 这 个 随机 数 , 双 方 计算 出 会 话 密 
钥 ( 主 密 钥 )。 然 后 通信 双方 使 用 会 话 密 钥 对 会 话 数 据 进 行 加 密 和 完整 性 保护 。 


支持 算法 的 密码 算法 列表 , SA 


_, 证 书 , 选择 支持 的 密码 算法 , Se 


选择 秘密 5S， 计 算 | ”A |E(PUs,S), 会 话 密 钥 K 和 握手 消息 的 散 列 值 
K=f (S,SA,SB) 


此 前 所 有 握手 消息 的 散 列 值 。 _| 计算 K=f(S,SAwSB) 


用 从 K 派 生 的 密 钥 进 行 数据 保护 


一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 -| 


图 8-3 简化 的 SSL 协议 


消息 1: A 发 起 会 话 请 求 ,并 发 送 自己 支持 的 密码 算法 的 列表 和 一 个 随机 数 SA 。 

消息 2:B 把 自己 的 证 书 以 及 另 一 个 随机 数 Ss 发 送 给 A, 同 时 在 消息 1 的 密码 算法 列 
表 中 选择 自己 能 够 支持 的 算法 响应 给 A。 

消息 3: A 选择 一 个 随机 数 S. 根 据 S、Sa。 和 Ss 计算 会 话 密 钥 ( 主 密 钥 )K。 然 后 A 用 B 
的 公 钥 加 密 S 后 发 送 给 B, 同 时 发 送 的 还 有 会 话 密 钥 K 和 握手 消息 的 散 列 值 ,用 来 证 明 自 
己 的 身份 ,同时 还 可 以 防止 攻击 者 对 消息 的 自 改 。 这 个 散 列 值 是 经 过 加 密 和 完整 性 保护 的 。 
用 于 加 密 这 个 散 列 值 的 加 密 密 钥 同时 也 是 对 将 来 的 会 话 数据 进行 加 密 的 密 钥 , 它 是 根据 主 
密 钥 K、S。 和 Ss 计算 出 来 的 。 用 于 数据 发 送 的 密 钥 称 为 写 密 钥 , 用 于 数据 接收 的 密 钥 称 为 
读 密 钥 。 发 送 、 接 收 两 个 方向 都 需要 加 密 密 钥 、 完 整 性 保护 密 钥 和 初始 向 量 IV, 因 此 共 需 要 
6 个 密 钥 。 这 6 个 密 钥 都 是 均 是 通过 会 话 主 密 钥 生成 的 。 

消息 4: B 也 根据 S$、.S。 和 Ss 计算 会 话 密 钥 K。B 发 送 此 前 所 有 握手 消息 的 散 列 值 ,此 
散 列 值 用 B 的 写 加 密 密 钥 进 行 加 密 保 护 . 用 B 的 写 完 整 性 保护 密 钥 进行 完整 性 保护 。 通 过 
这 个 消息 ,B 证 明 自 己 知道 会 话 密 钥 ,同时 也 证 明 自 己 知道 B 的 私 钥 , 因 为 K 是 从 S 导 出 
的 ,而 S 使 用 B 的 公 钥 加 密 的 。 

至 此 ,A 完成 了 对 B 的 认证 ,但 B 没 有 对 A 的 身份 进行 认证 。 这 是 因为 实际 应 用 中 很 
少 需 要 双向 认证 ,只 是 需要 客户 端 认 证 服务 器 ,而 不 需要 服务 器 认证 客户 端 。 如 果 客 户 端 拥 
有 证 书 , 也 可 以 实现 双向 认证 。 但 实际 应 用 中 .服务 器 通常 通过 要 求 客户 端 把 会 话 密 钥 加 密 
的 用 户 名 和 口令 发 送 过 来 实现 对 客户 端的 认证 。 
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8.2.2 SSL 记录 协议 


在 SSL 协议 中 ,所 有 的 传输 数据 都 被 封装 在 记录 中 。 记 录 是 由 记录 头 和 长 度 不 为 0 的 
记录 数据 组 成 的 。 所 有 的 SSL 通信 和 包括 握手 消息 、 安 全 空白 记录 和 应 用 数据 都 使 用 SSL 记 
录 层 。SSL 记录 协议 包括 了 记录 头 和 记录 数据 格式 的 规定 。 

SSL 记录 协议 为 SSL 连接 提供 两 种 服务 : 

(1) 保密 性 。 握 手 协议 定义 了 加 密 SSL 载荷 的 加 密 密 钥 。 

(2) 消息 完整 性 。 握 手 协议 也 定义 了 生成 MAC 的 共享 密 钥 。 

图 8-4 描述 了 SSL 记录 协议 的 整个 操作 过 程 。 发 送 时 ,SSL 记录 协议 从 高 层 协议 接收 
一 个 要 传送 的 任意 长 度 的 数据 ,将 数据 分 成 多 个 可 管理 的 段 ,可 选择 地 进行 压缩 ,然后 应 用 
MAC, 利 用 IDEA .DES、3DES 或 其 他 加 密 算法 进行 数据 加 密 , 再 加 上 一 个 SSL 头 ,将 得 到 
的 最 终 数 据 单元 放 和 人 一 个 TCP 段 中 发 送出 去 。SSL 头 主要 包括 内 容 类 型 .主要 版 本 、 次 要 
版 本 和 压缩 长 度 等 信息 。 接 收 数据 则 与 发 送 数据 过 程 相 反 。 接 收 的 数据 被 解密 、 验 证 、 解 
压 、 重 组 后 ,再 传递 给 高 层 应 用 。 


应 用 数据 


增加 MAC 


verze 
RM 
SR 
pococoecooed 


5 
[Re 
pS 


区 


加 密 数 据 和 MAC 


增加 TLS 数 据 头 


作为 有 效 载荷 片 ”作为 有 效 载 荷 片 。 作为 有 效 载荷 片 
段 传递 给 TCP 段 传递 给 TCP 段 传递 给 TCP 


图 8-4 ”SSL 记录 协议 的 操作 


(1) 数据 分 段 。 每 个 高 层 协议 消息 被 分 成 若干 小 于 或 等 于 2* 字 节 的 段 (SSL Plaintext) 。 

(2) 压缩 。 使 用 当前 会 话 状态 定义 的 压缩 算法 对 所 有 段 进 行 可 选择 压缩 ,压缩 将 SSL 
Plaintext 结构 变换 为 SSL Compressed 结构 。 压 缩 必 须 采 用 无 损 压 缩 方法 ,并 且 增 加 长 度 
不 能 超过 1024 个 字 节 。 在 SSL v3( 和 当前 的 TLS) 中 ,没有 制定 压缩 算法 ,所 以 默认 的 压缩 
算法 为 空 。 如 果 要 应 用 压缩 , 则 必须 在 加 密 和 MAC 计算 之 前 完成 。 

(3) 计算 MAC。 对 压缩 数据 计算 其 消息 认证 代码 (MAC)。 为 此 ,需要 使 用 共享 的 完 
整 性 保护 密 钥 。MAC 的 计算 公式 如 下 : 
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Hi=Hash(MAC write secret || pad_l | seq_num | SSLCompressed. type | 
SSLCompressed. length | SSLCompressed. fragment) ) 

H=hash(MAC write_secret | pad 2 | Hi) 

其 中 : | 为 连接 符号 ; MAC_write_secret 为 双方 的 共享 密 钥 ; Hash 为 散 列 算法 MD5 或 
SHA-1; pad_1 为 填充 ,对 MD5 来 说 ,是 字 节 0x36(0011 0110) 重 复 48 次 (384 位 ); 对 SHA-1, 是 
该 字 节 重复 40 次 (320 位 ); pad_2 为 填充 ,对 MD5 来 说 ,是 对 字 节 0x5C(0101 1100) 重 复 
48 次 (384 位 ); 对 SHA-1 来 说 ,重复 40 次 ; seq_num 为 该 消息 的 序列 号 ; SSLCompressed. type 
为 处 理 此 分 段 的 上 层 协 议 ; SSLCompressed. length 为 压缩 后 的 分 段 长度 ; SSLCompressed. 
fragment 为 压缩 后 的 分 段 ( 如 果 没 有 压缩 , 则 为 明文 段 ) 。 

当 会 话 的 客户 端 发 送 数据 时 , 密 钥 是 客户 的 写 密 钥 ,服务 器 用 读 密 钥 来 验证 MAC 数 
据 ; 而 当 会 话 的 客户 端 接收 数据 时 , 密 钥 是 客户 的 读 密 钥 ,服务 器 用 写 密 钥 来 产生 MAC 数 
据 。 序 号 是 一 个 可 以 被 发 送 和 接收 双方 递增 的 计数 器 。 每 个 通信 方向 都 会 建立 一 对 计数 
器 ,分 别 被 发 送 者 和 接收 者 拥有 。 计 数 器 有 32 位 ,计数 值 循 环 使 用 ,每 发 送 一 个 记录 计数 值 
递增 一 次 ,序号 的 初始 值 为 0。 

(4) 加 密 。 将 压缩 消息 和 MAC 用 对 称 加 密 方 法 加 密 。 加 密 对 内 容 增加 的 长 度 不 能 超 
过 1024 个 字 节 ,以 便 整 个 长 度 不 能 超过 2* 十 2048。 表 8-2 所 列 的 加 密 算法 是 允许 的 。 


表 8-2 两 种 加 密 算法 
分 组 密码 流 密 码 


算法 


密 钥 大 小 


算法 


密 钥 大 小 


AES 


128,256 


RC4-40 


40 


IDEA 


128 


RC4-128 


128 


RC2-40 


40 


DES-40 


40 


DES 


56 


3DES 


168 


Fortezza 


80 


对 流 加 密 而 言 ,压缩 消息 和 MAC 一 起 被 加 密 。 由 于 MAC 在 加 密 之 前 计算 , 它 将 与 明 


文 或 压缩 后 的 明文 一 起 加 密 。 


对 分 组 加 密 而 言 ,应 在 MAC 之 后 、 加 密 之 前 进行 填充 ,使 得 待 加 密 的 数据 (明文 十 
MAC 十 填充 ) 长 度 为 规定 的 加 密 分 组 长 度 的 整数 倍 。 填 充 的 格式 是 一 定 长 度 的 填充 字 节 后 
跟 一 个 字 节 的 填充 长 度 。 填 充 以 这 样 的 方式 进行 : 消息 末尾 添加 一 个 “1” 位 后 .添加 所 需 个 


数 的 “0” 位 。 


(5) 添加 SSL 记录 头 。SSL 记录 协议 的 最 后 一 步 是 加 上 SSL 头 , 此 SSL 头 由 以 下 字段 


构成 : 


。 内 容 类 型 (8 位 ): 用 于 指明 处 理 封装 分 段 的 高 层 协议 。 


。 主 版 本 号 (8 位 ): 表明 在 用 的 SSL 主 版 本 号 。 对 SSL v3 ,这 个 值 为 3。 

。 从 版 本 号 (8 位 ): 表明 在 用 的 SSL 从 版 本 号 。 对 SSL v3 ,这 个 值 为 0。 

。 压缩 后 长 度 (16 位 ): 指示 明文 段 或 压缩 分 段 ( 如 果 应 用 了 压缩 ) 的 字 节 长 度 , 最 大 为 
21 十 2048 。 
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已 经 定义 的 内 容 类 型 包括 修改 密码 规范 协议 、 报 警 协 议 、 握 手 协议 和 应 用 数据 。SSL 
记录 的 格式 如 图 8-5 所 示 。 


So 


RR 


tet 


加 密 


be 
CO CD 
KRC 

2090 


8-5 ”SSL 记录 格式 


8.2.3 SSL 修改 密码 规范 协议 


修改 密码 规范 协议 是 SSL 3 个 特定 协议 之 一 ,也 是 最 简单 的 一 个 。 该 协议 由 一 条 消息 
组 成 ,该 消息 只 包含 一 个 值 为 1 的 单个 字 节 ,如 图 8-6(a) 所 示 。 客 户 端 和 服务 器 端 都 能 发 送 
改变 密码 说 明 消 息 , 通 知 接收 方 后 续 记 录 将 使 用 刚刚 协商 的 密码 算法 和 密 钥 来 加 密 后 续 的 
记录 。 这 条 消息 的 接收 引起 未 决 状态 被 复制 到 当前 状态 ,更 新 本 连接 中 使 用 的 密码 组 件 : 
加 密 算法 、 散 列 算法 以 及 密 钥 等 。 客 户 端 在 握手 密 钥 交 换 和 验证 服务 器 端 证 书后 发 送 修 改 
密码 规范 消息 ,服务 器 则 在 成 功 处 理 它 从 客户 端 接收 的 密 钥 交换 消息 后 发 送 该 消息 。 
为 了 保障 SSL 传输 过 程 的 安全 性 ,双方 应 该 每 隔 一 段 时 间 改 变 加 密 规范 。 


1 字 节 1 字 节 3 字 节 字 

(a) 修改 密码 规范 协议 (0) 握手 协议 
1 字 节 1 字 节 三 1 字 节 
级 别 | 警报 不 透明 内 容 | 
(b) 警报 协议 (d) 其 他 上 层 协议 (如 HTTP) 


8-6 SSL 记录 协议 有 效 载荷 


8.2.4 SSL 报警 协议 


报警 协议 用 于 向 对 等 实体 传递 SSL 相关 的 报警 。 如 果 在 通信 过 程 中 某 一 方 发 现任 何 
异常 ,就 需要 给 对 方 发 送 一 条 警示 消息 通告 。 报警 消 息 传达 此 消息 的 严重 程度 的 编码 和 对 
此 报警 的 描述 。 最 严重 一 级 的 报警 消息 将 立即 终止 连接 ; 在 这 种 情况 下 ,本 次 对 话 的 其 他 
连接 还 可 以 继续 进行 ,但 对 话 标 识 符 必须 设置 为 无 效 ,以 防止 此 失败 的 对 话 重新 建立 新 的 连 
接 。 像 其 他 的 消息 一 样 ,报警 消息 是 利用 由 当前 连接 状态 所 指出 的 算法 加 密 和 压缩 的 。 

此 协议 的 每 个 消息 由 两 个 字 节 组 成 .如 图 8-5(b) 所 示 。 第 一 个 字 节 表示 消息 出 错 的 严 
重 程 度 , 值 1 表示 警告 . 值 2 表示 致命 错误 。 如 果 级 别 为 致命 , 则 SSL 将 立即 终止 连接 ,而 
会 话 中 的 其 他 连接 将 继续 进行 ,但 不 会 在 此 会 话 中 建立 新 连接 。 第 二 个 字 节 包含 描述 特定 
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报警 信息 的 代码 。 
导致 致命 错误 的 报警 如 下 : 
。 意外 的 消息 : 接收 到 不 正确 的 消息 。 
。 MAC 记录 出 错 : 接收 到 带 有 不 正确 MAC 的 记录 。 


。 解压 失败 : 解压 函数 接收 到 不 正确 的 输入 (如 不 能 解压 或 解压 长 度 大 于 允许 值 的 


长 度 )。 
。 握手 失败 : 发 送 者 无 法 在 给 定 选 项 中 协商 出 一 个 可 以 接受 的 安全 参数 集 。 
。 非法 参数 : 握手 消息 中 的 某 个 域 超出 范围 或 与 其 他 域 不 一 致 。 
一 般 警 告 如 下 : 


。 结束 通知 : 通知 接收 者 ,发 送 者 将 不 再 用 此 连接 发 送 任何 消息 。 各 方 在 关闭 连接 的 


写 端 时 均 需 发 送 结束 通知 。 
。 无 证 书 : 如 果 无 适当 的 证 书 可 用 ,可 能 作为 证 书 请 求 的 响应 来 发 送 。 
。 证书 出 错 : 接受 的 证 书 被 破坏 (如 签名 无 法 通过 验证 ) 。 
。 不 支持 的 证 书 : 不 支持 接收 的 证 书 类 型 。 
。 证 书 撤销 : 证 书 被 其 签名 者 撤销 。 
。 证 书 过 期 : 证 书 超过 使 用 期 限 。 
。 未 知 证 书 : 在 处 理 证 书 时 ,出 现 其 他 错误 ,使 得 证 书 不 被 接受 。 


SSL 握手 协议 中 的 错误 处 理 是 很 简单 的 。 当 发 现 一 个 错误 后 ,发现 方 将 向 对 方 发 一 个 
消息 。 当 传输 或 收 到 最 严重 一 级 的 报警 消息 时 ,连接 双方 均 立 即 终止 此 连接 。 服 务 器 和 客 


户 端 均 应 忘 一 记 前 一 次 对 话 的 标识 符 、 密 钥 及 有 关 失 败 的 连接 的 共享 信息 。 
8.2.5 SSL 握手 协议 


握手 协议 是 SSL 协议 的 核心 ,SSL 的 部 分 复杂 性 也 来 自 于 握手 协议 。 握 手 是 指 客户 端 
与 服务 器 端 之 间 建 立 安全 连接 的 过 程 。 在 客户 端 和 服务 器 的 一 次 会 话 中 ,SSL 握手 协议 对 
它们 所 使 用 的 SSL/TLS 协议 版 本 达成 一 致 .并 允许 客户 端 和 服务 器 端 通过 数字 证 书 实现 
相互 认证 ,协商 加 密 和 MAC 算法 ,利用 公 钥 技术 来 产生 共享 的 私密 信息 等 。 握 手 协议 在 传 


递 应 用 数据 之 前 使 用 。 


握手 协议 由 客户 端 和 服务 器 间 交 换 的 一 系列 消息 组 成 ,这 些 消息 的 格式 如 图 8-5(Cc) 所 


示 。 每 个 消息 由 三 个 域 组 成 : 
。 类 型 (1 字 节 ): 表明 10 种 消息 中 的 一 种 . 表 8-3 列举 了 所 定义 的 消息 类 型 。 
。 长 度 (3 字 节 ): 消息 的 字 节 长 度 。 
。 内容 (三 0 个 字 节 ): 与 消息 相关 的 参数 ,如 表 8-3 所 示 。 


表 8-3 ”握手 协议 消息 类 型 


消息 类 型 参 数 
hello_request 空 
client_hello 版 本 号 、 随 机 数 、 会 话 标识 .密码 组 .压缩 方法 
server_hello 版 本 号 、 随 机 数 、 会 话 标 识 、 密 码 组 、 压 缩 方法 
certificate X. 509 v3 证 书 链 


server_ key_exchange 参数 、 签 名 
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续 表 
消息 类 型 参 数 
certificate_request 类 型 .认证 机 构 
server_done 空 
certificate_verify 签名 
client_key_exchange 参数 、 签 名 
finished 散 列 值 


图 8-7 表明 了 在 客户 端 与 服务 器 之 间 建 立 罗 辑 连接 的 初始 交换 。 此 交换 过 程 包括 4 个 
阶段 。 
客户 只 服务 器 端 


aa 阶段 1 
~| 建立 安全 能 力 ， 包 括 协 


client_hello 


议 版 本 、 会 话 标识 、 密 
- 码 组 、 讨 芽 方 法 和 初始 
ISRC _ 随 机 数 
certificate 
| server_key_exchange 阶段 2 
是 蔬 ， 交 换 


certificate_request 证 书 请 求 ，hello 


上 
消息 
server_hello_done 消息 
— 
TE | 
间 
certificate 
一 | 
client_key_exchange 
certificate verify 
一 | 
change_cipher_spec 
et ”| 以 训 和 码 组 ， 结 束 握手 
hi iD 变 密码 组 ， 结 束 握手 
加 change cipher spec 协议 
| finished 


8-7 ”握手 协议 处 理 过 程 


1. 阶段 1: 建立 逻辑 连接 

此 阶段 用 于 建立 初始 的 逻辑 连接 ,并 建立 与 之 相连 的 安全 能 力 。 客 户 端 向 服务 器 发 送 
一 条 客户 端 hello 消息 (client_hello) ,服务 器 必须 使 用 服务 器 hello 消息 (server_hello) 进 行 
响应 ,否则 就 会 造成 致命 错误 ,同时 连接 失败 。 在 客户 端 hello 消息 中 ,客户 端 提 供给 服务 
器 端 一 个 算法 和 压缩 方式 列表 ,顺序 排列 与 偏好 相 一 致 。 服 务 器 从 中 进行 选择 ,并 把 选择 结 
人 hello 消息 反馈 给 客户 端 。 经 过 这 一 阶段 ,客户 端 与 服务 器 双方 对 以 下 参数 
达成 共识 : 协议 版 本 随机 数 、 会 话 ID 密码 组 件 以 及 压缩 算法 等 。 
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客户 端 发 起 这 个 交换 ,发 送 具 有 如 下 参数 的 client_hello 消息 : 
(1) 版 本 号 。 客 户 端 希望 在 本 次 会 话 中 用 以 通信 的 SSL 协议 版 本 号 , 它 应 该 是 客户 端 
能 够 支持 的 最 新 版 本 。 
(2) 随机 数 。 由 客户 端 生成 的 随机 数 结构 ,用 32 位 时 间 戳 和 一 个 安全 随机 数 生 成 器 生 
成 的 28 字 节 随机 数组 成 。 这 些 值 作 为 nonce, 在 密 钥 交换 时 防止 重 放 攻 击 。 
(3) 会 话 标识 。 一 个 变 长 的 会 话 标识 。 非 0 值 意味 着 客户 端 想 更 新 已 存在 连接 的 参数 
或 在 此 会 话 中 创建 一 个 新 的 连接 ; 0 值 意味 着 客户 端 想 在 新 会 话 上 创建 一 个 新 连接 。 
(4) 密码 组 。 按 优先 级 降序 排列 的 、 客 户 端 支持 的 密码 套件 列表 。 表 的 每 个 元 素 定义 
了 一 个 密码 套件 ,包括 加 密 算法 、 密 钥 长 度 、MAC 算法 等 。 协议 中 预先 定义 好 了 大 约 30 种 
密码 套件 ,每 个 套件 被 分 配 了 一 个 数值 。 
(5) 压缩 方法 。 一 个 客户 端 支 持 的 压缩 方法 列表 .也 是 按照 优先 级 降序 排列 的 。 
客户 端 发 出 消息 client_hello 后 ,会 等 待 包含 与 消息 client_hello 参数 相同 的 server_ 
hello 消息 的 到 来 。 如 果 服 务 器 找到 一 组 可 接受 的 密码 算法 : 它 将 发 送 此 消息 。 和 否则 ,服务 
器 将 以 握手 失败 报警 消息 来 响应 客户 端 。 
server_hello 消息 具有 如 下 内 容 : 
。 版 本 号 : 这 个 字段 包含 的 是 客户 端 支 持 的 最 低 版 本 号 和 服务 器 支持 的 最 高 版 本 号 。 
。 随机 数 : 随机 数 域 是 由 服务 器 生成 的 ,与 客户 端的 随机 数 域 相互 独立 。 
。 会 话 标识 : 对 应 当前 连接 的 会 话 。 如 果 客 户 端 hello 消息 中 的 会 话 标识 非 0, 服务器 
将 查看 它 的 会 话 缓冲 区 来 寻找 匹配 的 会 话 ID。 如 果 找 到 并 且 服 务 器 愿意 使 用 指定 
的 会 话 状 态 建立 新 连接 , 则 服务 器 将 使 用 与 客户 端 hello 中 会 话 ID 相同 的 值 来 
回应 。 
。 密码 组 : 服务 器 从 客户 端 hello 消息 中 的 密码 组 中 选择 的 密码 套件 子 集 。 
。 压缩 方法 : 服务 器 从 客户 端 hello 消息 中 的 压缩 方法 列表 中 选择 的 单个 压缩 方法 。 
密码 组 参数 的 第 一 个 元 素 是 密 钥 交换 方法 。 支 持 下 述 密 钥 交 换 方法 : 
。 RSA: 用 接收 者 的 RSA 公 钥 加 密 的 密 钥 ,必须 拥有 接收 者 公 钥 的 公 钥 证 书 。 
。 固定 Diffie-Hellman: Diffie-Hellman 密 钥 交换 .其 中 包含 认证 中 心 签发 的 Diffie- 
Hellman 公 钥 参数 的 服务 器 证 书 , 也 就 是 说 , 公 钥 证 书包 含 Diffie-Hellman 公 钥 参 
数 。 客 户 端 在 证 书 中 提供 它 的 Diffie-Hellman 公 钥 参数 ,或 需要 进行 客户 端 认 证 
时 ,在 密 钥 交换 消息 中 提供 证 书 。 
。 瞬时 Diffie-Hellman: 此 技术 用 于 创建 瞬时 (临时 ,一 次 性 ) 的 密 钥 。 在 这 种 情况 下 ， 
Diffie-Hellman 公 钥 在 交换 时 使 用 发 送 者 的 RSA 或 DSS 私 钥 签名 。 接 收 者 使 用 相 
应 的 公 钥 验证 签名 。 由 于 它 使 用 的 是 临时 的 认证 密 钥 ,因此 在 3 种 Diffie-Hellman 
选项 中 最 安全 。 
。 匿名 Diffie-Hellman: 使 用 基本 的 Diffie-Hellman 算法 ,没有 认证 。 即 在 向 对 方 发 送 
其 Diffie-Hellman 公 钥 参数 时 ,不 进行 认证 。 这 种 方法 容易 受到 中 间 人 攻击 ,攻击 
者 可 以 使 用 匿名 Diffie-Hellman 与 双方 进行 通话 。 
。 Fortezza: 为 Fortezza 模式 定义 的 技术 。 
密 钥 交换 方法 定义 之 后 的 是 CipherSpec. 其 中 包含 以 下 域 : 
。 密码 算法 : 前 面 提 及 的 算法 ,包括 RC4、RC2、DES、3DES、DES40、IDEA 、Fortezza。 
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。 MAC 算法: MD5 或 SHA-1。 

。 密码 类 型 : 流 或 块 。 

。 IsExportable: 真 或 假 。 

。 散 列 长 度 : 0.16(MD5) 或 20(SHA-1) 个 字 节 。 

。 密 钥 材 料 : 字 节 序列 ,包含 生成 写 密 钥 所 使 用 的 数据 。 

。 IV 大 小 : 密码 分 组 链接 CBC 加 密使 用 的 初始 矢量 的 大 小 。 

2. 阶段 2: 服务 器 认证 和 密 钥 交换 

如 果 需 要 进行 认证 , 则 服务 器 发 送 其 数字 证 书 (certificate) 来 启动 此 阶段 。 除 匿名 
Diffie-Hellman 方法 外 ,其 他 密 钥 交 换 方法 均 需 要 证 书 消息 。 接 下 来 ,如 果 需 要 ,可 以 发 送 
服务 咒 密 钥 交 换 消息 (server_key_exchange)。 如 果 服 务 器 是 一 个 非 匿名 服务 器 (服务 咒 不 
使 用 匿名 Diffie-Hellman) , 则 它 需 要 请 求 验 证 客户 端的 证 书 (certificate_request); 此 时 客 
户 端 必须 发 送 自己 的 证 书 。 最 后 ,服务 器 发 送 服务 器 hello 完成 消息 (server_hello_done)， 
此 消息 不 带 参数 ,表明 服务 器 的 hello 和 相关 消息 结束 。 在 此 消息 发 送 之 后 ,服务 器 将 等 待 
客户 端 应 答 。 

服务 器 证 书 消息 (certificate) 通 常 包 含 一 个 或 多 个 X. 509 证 书 , 它 必须 包含 一 个 与 密 钥 
交换 方法 相 匹 配 的 密 钥 。 

服务 咒 密 钥 交 换 消息 (server_key_exchange) 只 在 需要 的 时 候 由 服务 絮 发 送 。 如 果 服 
务 器 发 送 了 带 有 固定 Diffie-Hellman 参数 的 证 书 或 者 使 用 RSA 密 钥 交 换 , 则 不 需要 发 送 
server_key_exchange 消息 。 

server_key_exchange 消息 包含 以 下 内 容 : 

。 Params: 服务 器 的 密 钥 交换 参数 。 

。 Signed params: 对 于 非 匿名 密 钥 交 换 ,对 params 的 散 列 值 的 签名 。 

通常 情况 下 ,通过 对 消息 使 用 散 列 函 数 并 使 用 发 送 者 私 钥 加 密 获得 签名 。 在 此 , 散 列 函 
数 定义 如 下 : 


hash(ClientHello. random | ServerHello. random | ServerParams) 


散 列 不 仅 包含 Diffie-Hellman 或 RSA 参数 .还 包含 初始 hello 消息 中 的 两 个 nonce, 可 
以 防止 重 放 攻击 和 伪装 。 对 DSS 签名 而 言 , 散 列 函 数 使 用 SHA-1 算法 ; 对 RSA 签名 而 言 ， 
将 要 计算 MDS 和 SHA-1 ,再 将 两 个 散 列 结果 串 接 (36 字 节 ) 后 ,用 服务 器 私 钥 加 密 。 

证 书 请 求 消息 (certificate_request) 包 含 两 个 参数 : 证 书 类 型 和 认证 机 构 。 证 书 类 型 是 
一 个 请 求证 书 类 型 列表 ,按照 服务 器 的 喜好 排序 。 认 证 中 心 则 列 出 了 一 个 可 接受 的 认证 机 
构 名 字 表 。 

服务 器 完成 消息 (server_hello_done) 通 常 是 需要 的 。 此 消息 由 服务 器 发 送 ,指示 服务 
器 的 hello 和 相关 消息 结束 。 这 个 消息 意味 着 服务 器 已 经 完成 了 发 送 支 持 密 钥 交换 的 消 
息 ,客户 端 可 以 处 理 自己 的 密 钥 交换 阶段 。 在 接收 到 服务 器 完成 消息 之 后 ,如 果 服 务 器 请 求 
了 证 书 , 客 户 端 需要 验证 服务 器 是 否 提 供 了 合法 证 书 , 并 且 检 查 server_hello 参数 是 否 可 接 
受 。 如 果 所 有 的 条 件 均 满足 , 则 客户 端 向 服务 器 发 回 一 个 或 多 个 消息 。 

3. 阶段 3: 客户 端 认 证 和 密 钥 交换 


如 果 服 务 器 请 求 了 证 书 , 则 在 此 阶段 客户 端 开始 发 送 一 条 证 书 消息 (certificate)。 如 果 
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不 能 提供 合适 的 证 书 , 则 客户 端 将 发 送 一 个 “无 证 书 报警 ”"。 接 下 来 是 此 阶段 必须 要 发 送 的 
客户 端 密 钥 交 换 消息 (client_key_exchange) ,消息 的 内 容 依 赖 于 密 钥 交换 的 类 型 : 
。 RSA: 客户 端 生成 48 字 节 的 次 密 钥 ,并 使 用 服务 器 证 书 中 的 公 钥 或 服务 器 密 钥 交 
换 消 息 中 的 临时 RSA 密 钥 加 密 。 次 密 钥 用 于 主 密 钥 的 计算 。 
。 瞬时 或 匿名 Diffie-Hellman: 发 送 客户 端的 Diffie-Hellman 公 钥 参数 。 
。 固定 Diffie-Hellman: 由 于 证 书 消息 中 包括 Diffie-Hellman 公 钥 参数 ,因此 此 消息 内 
容 为 空 。 
。 Fortezza: 发 送 客户 端的 Fortezza 参数 。 
在 此 阶段 的 最 后 ,客户 端 可 以 发 送 一 个 证 书 验 证 消息 (certificate_verify message) 来 提 
供 对 客户 端 证 书 的 精确 认证 。 此 消息 只 有 在 客户 端 证 书 具 有 签名 能 力 时 发 送 ( 如 除 带 有 固 
定 Diffie-Hellman 参数 外 的 所 有 证 书 )。 此 消息 对 一 个 基于 前 述 消息 的 散 列 编码 的 签名 ,其 
定义 如 下 : 


CertificateVerify. signature. md5_hash 
MD5 (master_secret | pad_2 || MD5 (handshake messages || master_sercet || pad_1)); 
Certificate. signature. sha_hash 
SHA(master_secret | pad_2 || SHA (handshake_messages | master_secret || pad_1)); 
其 中 : pad_1 和 pad_2 是 前 面 MAC 定义 的 值 ,握手 消息 (handshahake_messages) 指 的 是 从 client_ 
hello 开始 但 不 包括 这 条 消息 以 及 发 送 或 接收 的 所 有 握手 协议 消息 。 如 果 用 户 私 钥 是 DSS, 则 被 
用 于 加 密 SHA-1 散 列 ; 如 果 用 户 私 钥 是 RSA. 则 被 用 于 加 密 MD5 和 SHA-1 散 列 连接 。 
4. 阶段 4: 完成 
此 阶段 完成 安全 连接 的 设置 。 客 户 端 发 送 修 改 密码 规范 消息 (change_cipher_spec) 并 
将 挂 起 CipherSpec 复制 到 当前 CipherSpec 中 。 之 后 客户 端 立即 使 用 新 的 算法 、 密 钥 和 密码 
发 送 新 的 完成 消息 (finish)。 完 成 消息 对 密 钥 交换 和 认证 过 程 的 正确 性 进行 验证 。 完 成 消 
息 是 两 个 散 列 值 的 拼接 : 


MD5 (master_secret | pad_2 || MD5(handshake messages || sender|| master_secret || pad_1)) 
SHA(master_secret | pad 2 || SHA(handshake messages || sender|| master secret || pad_1)) 


在 应 答 这 两 个 消息 时 ,服务 器 发 送 自己 的 修改 密码 规范 消息 (change_cipher_spec) ,并 
向 当前 的 CipherSpec 中 复制 挂 起 CipherSpec, 发送 完成 消息 (finish) 。 一 旦 一 方 发 送 了 自 
己 的 完成 消息 ,并 验证 了 对 方 的 完成 消息 . 则 可 以 在 这 个 连接 上 发 送 和 接收 应 用 数据 。 应 用 
数据 被 透明 处 理 ,由 记录 层 携 带 , 并 基于 当前 连接 状态 被 分 段 、 压 缩 、 加 密 。 


8.2.6 密码 计算 

密 钥 交换 ,认证 .加密 和 MAC 算法 由 服务 器 在 server_hello 消息 中 选择 的 密码 套件 决 
定 。 压 缩 算法 和 随机 数 也 在 hello 消息 中 交换 。 

1. 主 密 钥 的 创建 

共享 主 密 钥 是 利用 安全 密 钥 交换 某 个 会 话 建立 的 一 个 一 次 性 的 数值 ,为 客户 端 和 服务 
器 所 共享 。 主 密 钥 的 生成 分 为 两 个 阶段 : 首先 ,交换 次 密 钥 (pre_master_secret); 然后 , 双 
方 共同 计算 主 密 钥 (master_secret)。 主 密 钥 长 度 是 48 个 字 节 ,而 次 密 钥 的 长 度 不 固定 , 随 
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着 密 钥 交换 方法 而 变化 。 

有 两 种 交换 次 密 钥 的 方法 : 

(1) RSA。 当 RSA 用 于 服务 器 认证 和 密 钥 交换 式 , 由 客户 端 生 成 48 字 节 的 次 密 钥 ,用 
服务 器 的 RSA 公 钥 加 密 后 ,发 送 给 服务 器 。 服 务 器 用 其 私 钥 解密 密 文 ,得 到 次 密 钥 。 

(2) Diffie-Hellman。 客 户 端 和 服务 器 执行 常规 的 Diffie-Hellman 计算 ,同时 生成 
Diffie-Hellman 公 钥 。 密 钥 交 换 后 .各 方 执行 Diffie-Hellman 计算 ,创建 共享 次 密 钥 。 

在 共享 了 次 密 钥 后 ,客户 端 和 服务 器 按 如 下 方法 计算 主 密 钥 : 


Master_secret = MD5 (pre_master_secret |‖ SHA(C'A' | 

Pre_master_secret || ClientHello. random | 
ServerHello. random)) | 

MD5 (pre_master_secret || SHA('BB' | 
Pre_master_secret || ClientHello. random || 
ServerHello. random)) | 

MD5 (pre_master_secret || SHA('CCC' | 
Pre_master_secret || ClientHello. random | 
ServerHello. random)) | 


其 中 , ClientHello. random 和 ServerHello. random 是 在 初始 hello 消息 中 交换 的 两 个 
Donce 。 

2. 生成 密码 参数 

CipherSpecs 需要 的 客户 端 写 MAC 密 钥 .服务器 写 MAC 密 钥 .客户 端 写 密 钥 、 服 务 器 
写 密 钥 .客户 端 写 初始 矢量 和 服务 器 写 初始 矢量 , 均 是 通过 主 密 钥 生 成 的 。 主 密 钥 通过 散 列 
函数 把 所 有 参数 映射 为 足够 长 的 安全 字 节 序列 。 

从 主 密 钥 生成 各 主要 参数 的 方法 与 从 次 密 钥 中 生成 主 密 钥 的 方法 相同 : 

Key_block = MD5 (master_secret || SHA('A' || master_secret | 


ServerHello. random | ClientHello. random)) | 
MD5 (master_secret || SHA('BB' || master_secret | 


ServerHello. random || ClientHello. random)) | 
MD5 (master_secret || SHA('CCC' || master_secret | 
ServerHello. random || ClientHello. random)) || … 


直到 生成 足够 的 输出 。 此 算法 结构 的 结果 是 一 个 伪 随 机 函数 .可 以 将 主 密 钥 看 成 是 该 函数 
的 伪 随 机 种 子 值 Cseed value); 客户 端 和 服务 器 随机 数 则 可 看 成 是 复杂 密码 分 析 方 法 的 敏 
感 值 。 
8.2.7 传输 层 安 全 

传输 层 安全 (TLS) 是 IETF 标准 的 初衷 ,其 目标 是 成 为 SSL 的 互联 网 标准 。TLS vl 协 
议 本 身 基于 SSL v3. 很 多 与 算法 相关 的 数据 结构 和 规则 十 分 相似 。 因 此 .TLS vl 与 SSL v3 
的 差别 并 不 是 非常 大 ,但 也 存在 些许 区 别 。 

1. 版 本 号 


TLS 记录 格式 与 SSL 记录 格式 相同 , 头 中 各 域 的 含义 也 相同 。 其 区 别 在 于 版 本 值 。 在 
TLS 当前 版 本 中 ,其 主 版 本 号 为 3, 从 版 本 号 为 1。 
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2. MAC 算法 
SSL v3 和 TLS 的 MAC 方案 有 两 点 不 同 : 实际 算法 和 MAC 计算 的 范围 。TLS 使 用 
RFC 2104 中 定义 的 HMAC 算法 ,其 定义 为 : 
HMAC hash(MAC write_secret, seq num || TLSCompressed. type || 
TLSCompressed. version || TLSCompressed. length || TLSCompressed. fragment) 
MAC 计算 不 仅 履 盖 了 SSL v3 中 MAC 计算 的 所 有 域 , 还 增加 了 一 个 体现 协议 版 本 号 
的 域 TLSCompressed。 
3. 伪 随 机 函数 
TLS 使 用 伪 随 机 函数 (Pseudo-Random Function,PRF) 将 一 个 秘密 值 扩 展 成 为 用 于 密 
钥 生 成 的 数据 分 组 。PRF 使 用 一 个 相对 较 小 的 共享 秘密 值 ,一 个 种 子 和 一 个 标志 标签 作为 
输入 ,生成 较 长 的 数据 分 组 ,防止 对 散 列 函数 和 MAC 的 攻击 。 伪 随机 函数 基于 下 述 数 据 扩 
展 函 数 : 
P_hash( secret,seed) = HMAC hash(secret, A(1) || seed) | 


HMAC_hash(secret, A(2) | seed) | 
HMAC_hash(secret, A(3) || seed) || … 


其 中 ,AGO) 定 义 为 ; 


A(0) = seed 

A(D = HMAC hash(secret, A(i—1)) 

数据 扩展 函数 使 用 以 MD5 或 SHA-1 为 基本 散 列 函数 的 HMAC 算法 。P_hash 可 以 迭 
代 任 意 次 ,产生 所 需 的 数据 。 例 如 ,如 果 使 用 P_SHA-1 生成 64 个 字 节 的 数据 ,就 需要 迭代 
4 次 ,产生 80 个 字 节 的 数据 , 略 去 最 后 的 16 个 字 节 。 如 果 使 用 P_MD5 则 也 需要 迭代 4 次 ， 
恰好 产生 64 个 字 节 的 数据 。 注 意 . 每 次 迭代 执行 两 次 HMAC ,每 次 HMAC 执行 两 次 基本 
散 列 函 数 。 

为 了 使 PRF 足够 安全 , PRF 同时 使 用 两 种 散 列 函数 。 只 要 有 一 种 算法 是 安全 的 , 则 
PRF 就 是 安全 的 。PRF 定义 如 下 : 


PRF(secret,label, seed) = P_MD5(S1.label | seed) 由 P_SHA-1(S2,label || seed) 


PRF 以 秘密 值 (secret)、 标 识 标签 (label) 和 种 子 值 (seed) 为 输入 ,产生 任意 长 度 的 输 
出 。 通 过 将 secret 分 成 两 半 (S1 和 S2), 对 一 半 应 用 P_MD5 生成 数据 , 另 一 半 则 应 用 
P_SHA-1 生成 数据 ,再 将 两 部 分 的 结果 异 或 得 到 输出 。 因 此 ,为 了 使 异 或 操作 产生 相同 数 
据 量 ,P_MD5 就 应 该 比 P_SHA-1 迭代 的 次 数 多 。 

4. 报警 代码 

TLS 支持 除 无 证 书 以 外 的 SSL v3 中 定义 的 所 有 报警 代码 ,并 且 还 定义 了 许多 附加 的 
代码 ,以 下 列举 出 了 其 中 的 主要 部 分 : 

。 解密 失效 (decryption_failed) : 使 用 不 正确 的 方法 解密 TLS 密 文 ,或 者 长 度 不 是 分 

组 长 度 的 整数 倍 .或 填充 值 不 正确 。 
。 记录 溢出 (record_overflow) : 接收 的 TLS 记录 中 的 载荷 ( 密 文 ) 长 度 超过 2* 十 2048 
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个 字 节 ,或 者 密 文 解密 后 长 度 超 过 2 十 1024。 
。 未 知 的 认证 机 构 (unknown_ca): 接收 到 一 个 有 效 的 证 书 链 或 部 分 链 , 但 证 书 不 可 接 
受 , 原 因 是 证 书 不 能 定位 或 不 能 与 可 信任 的 认证 机 构 相 匹配 。 
。 拒绝 访问 (access_denied) : 接收 到 合法 证 书 . 但 发 送 者 拒绝 进行 协商 访问 。 
。 解码 出 错 (decode_error): 由 于 域 超出 了 指定 范围 或 消息 长 度 不 正确 使 消息 不 能 
解码 。 
。 输 出 限制 (export_restriction): 密 钥 长 度 的 输出 限制 不 能 达成 一 致 。 
。 协议 版 本 (protocol_version) : 客户 端 试图 协商 的 协议 版 本 可 以 识别 但 不 能 支持 。 
。 安全 不 足 (insufficient_security) : 服务 器 需要 的 安全 级 别 客户 端 无 法 支持 时 协商 失 
败 的 返回 值 , 代 替 握 手 失败 。 
。 中 间 出 错 (Cinternal_error) : 与 对 方 或 协议 正确 性 无 关 的 中 间 环 节 出 错 , 使 得 无 法 继 
续 操 作 。 
。 解密 出 错 (decypt_error) : 握手 密码 访问 失败 ,包括 无 法 验证 签名 、 解 密 密 钥 交换 或 
校 验 完成 的 消息 。 
。 用 户 取消 (user_canceled): 握手 由 于 某 些 与 协议 错误 的 无 关 原 因而 被 取消 。 
。 不 再 重新 协商 (no_renegotiation) : 由 客户 端 响应 hello 请 求 或 服务 器 在 初始 握手 后 
响应 客户 端的 hello。 通 常 应 答 消 息 都 会 导致 重新 协商 ,但 此 报警 表明 发 送 者 不 能 
重新 协商 。 此 消息 通常 是 警告 消息 。 
5. 密码 组 
SSL v3 和 TLS 提供 的 密码 组 有 一 些小 的 差别 : 
。 密 钥 交换 : TLS 支持 除 Fortezza 外 的 所 有 SSL v3 的 密 钥 交 换 技 术 。 
。 对 称 加 密 算 法 : TLS 包括 除 Fortezza 外 的 所 有 SSL v3 的 对 称 加 密 算法 。 
6. 客户 端 证 书 类 型 
TLS 定义 了 以 下 证 书 请 求 消息 中 需要 的 证 书 类 型 . rsa_sign,dss_sign,rsa_fixed_dh 和 
dss_fixed_dh, 这 些 都 是 SSL v3 中 定义 了 的 类 型 。 另 外 ,SSL v3 中 还 包括 rsa_ephemeral_ 
dh,dsa_ephemeral_dh 和 fortezza_kea。 瞬 时 Diffie-Hellman 使 用 RSA 或 DSS 对 Diffie- 
Hellman 参数 加 密 。 对 TLS 而 言 ,不 包括 Fortezaa 模式 , 仅 使 用 rsa_sign 和 dss_sign 类 型 
对 Diffie-Hellman 参数 加 密 。 

7. 证 书 验证 

SSL v3 中 散 列 值 的 计算 还 包括 主 密 钥 、 握 手 消息 和 填充 域 , 但 这 些 额 外 的 域 不 能 增加 
它 的 安全 性 。 在 TLS 证 书 验证 消息 中 ,MD5 和 SHA-1 的 散 列 值 只 根据 握手 消息 计算 , 定 
义 如 下 : 

CertificateVerify. signature. md5_hash 

MD5 (handshake_messages) 


CertificateVerify. signature. sha_hash 
SHA(handshake_ messages) 


8. 完成 消息 
和 SSL v3 中 的 完成 消息 一 样 ,TLS 中 的 完成 消息 也 是 基于 共享 主 密 钥 、 先 前 的 握手 消 
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息 和 标识 服务 器 或 客户 端的 标签 的 散 列 数据 .但 某 些 计算 不 同 。 在 TLS 中 ,计算 方法 如 下 : 
PRF(Cmaster_secret,finished_label.MD5(handshake_message) | SHA-1(handshake message)) 


其 中 ,finished_label 或 为 客户 端的 字符 串 client finished, 或 为 服务 器 端的 字符 串 server 
finished 。 

9. 密码 计算 

TLS 中 次 密 钥 的 计算 方法 与 SSL v3 中 的 相同 。 与 SSL v3 一 样 ,TLS 的 主 密 钥 是 对 次 
密 钥 和 两 个 随机 hello 值 进行 散 列 计算 得 到 ,但 计算 方法 如 下 : 

Master_secret 一 PRF(pre_master_ secret,"master secret", 
ClientHello. random | ServerHello. random) 

算法 执行 直到 产生 48 个 字 节 的 伪 随 机 数 。 密 钥 分 组 元 素 (MAC 密 钥 会 话 加 密 密 钥 
和 初始 向 量 ) 的 计算 方法 如 下 : 

Key_block = PRF(master_ secret, "key expansion", 

SecurityParameters. server_random | SecurityParameters. clinet_random) 

算法 执行 直到 产生 足够 多 的 输出 。 在 SSL v3 中 ,key_block 是 一 个 关于 master_ 
secret ,客户 端 和 服务 器 随机 数 的 函数 ,而 与 TLS 中 实际 使 用 的 算法 不 同 。 

10. 填充 

在 SSL 加 密 之 前 ,使 用 填充 域 使 得 用 户 数据 为 加 密 所 需 的 分 组 长 度 的 最 小 整数 倍 。 而 
在 TLS 中 ,填充 域 长 度 不 超过 255 个 字 节 ,使 用 户 数据 为 加 密 所 需 的 分 组 长 度 的 任意 整数 
倍 的 值 。 例 如 ,如 果 明 文 ( 或 压缩 明文 ) 加 上 MAC 和 填充 长 度 域 共 为 79 个 字 节 , 则 填充 域 
可 以 是 1,9,17,25,… ,249 位 。 可 变 的 填充 可 以 防止 基于 交换 消息 长 度 分 析 的 攻击 。 


8.3 安全 电子 交易 


安全 电子 交易 协议 (Secure Electronic Transaction ,SET) 是 设计 用 于 保护 基于 信用 卡 
在 线 支付 的 电 于 商务 的 安全 协议 . 它 是 由 VISA 和 MasterCard 两 大 信用 卡 公 司 于 1997 年 5 
月 联合 推出 的 规范 。SET 通过 制定 标准 和 采用 各 种 密码 技术 手段 ,解决 了 当时 困扰 电子 商 
务 发 展 的 安全 问题 。 目 前 它 已 经 获得 IETF 标准 的 认可 ,已 经 成 为 事实 上 的 工业 标准 。 

SET 主要 是 为 了 解决 用 户 .商家 和 银行 之 间 通 过 信用 卡 支付 的 交易 而 设计 的 ,以 保证 
支付 信息 的 机 密 、 支 付 过 程 的 完整 .商户 及 持 卡 人 的 合法 身份 以 及 可 操作 性 。SET 中 的 核 
心 技术 主要 有 公 匙 加 密 、 数 字 签 名 .电子 信封 .电子 安全 证 书 等 。 

目前 公布 的 SET 正式 文本 涵盖 了 信用 卡 在 电子 商务 交易 中 的 交易 协定 、 信 息 保密 、 资 
料 完整 及 数字 认证 ,数字 签名 等 。 这 一 标准 被 公认 为 全 球 网 际 网 络 的 标准 ,其 交易 形态 将 成 
为 未 来 “电子 商务 ”的 规范 。 

从 本 质 上 说 ,SET 提供 三 种 服务 : 

(1) 为 交易 各 方 提供 安全 的 信道 。 

(2) 通过 使 用 X. 509 v3 数字 证 书 提供 信任 。 


第 8 章 Web 安全 性 167 


(3) 由 于 信息 只 在 需要 的 时 间 和 地 方 提供 ,因而 要 确保 私密 性 。 
SET 规范 相当 复杂 ,共有 971 页 .本 节 仅 总 体 介 绍 该 协议 。 


8.3.1 SET 的 需求 


SET 规范 列举 了 在 互联 网 或 其 他 网 络 上 用 信用 卡 进行 安全 支付 的 商业 需求 : 

(1) 提供 支付 和 订购 信息 的 保密 性 。 持 卡 人 账户 和 支付 信息 应 该 在 通过 网 络 传输 过 程 
中 保持 机 密 性 , 且 信 息 只 能 被 指定 的 接收 方 访问 。 持 卡 人 的 信用 卡号 码 仅 仅 为 发 卡 银行 所 
致 ,不 能 为 商家 所 获得 。 保 密 性 减少 了 一 方 被 男 一 方 或 被 怀 有 恶意 的 第 三 方 欺 诈 的 危险 。 

(2) 确保 传送 数据 的 完整 性 。 确 保 在 SET 消息 的 传送 过 程 中 消息 内 容 不 被 改变 。 
SET 通过 在 所 有 时 刻 保持 信息 的 加 密 来 对 抗 消 息 在 传送 过 程 中 被 算 改 的 风险 。 数 字 签 名 
用 以 提供 支付 信息 的 完整 性 。 

(3) 持 卡 人 账号 认证 。 商 家 需要 一 种 机 制 确保 持 卡 人 是 有 效 账户 号 码 的 合法 用 户 。 将 
持 卡 人 和 特定 账号 相 联系 的 机 制 减少 了 欺诈 的 发 生 和 支付 处 理 的 总 开销 。 使 用 数字 签名 和 
证 书 来 验证 持 卡 人 是 否 为 合法 账号 的 合法 用 户 。 

(4) 为 商家 提供 认证 。 持 卡 人 需要 能 够 识别 他 们 将 要 进行 安全 交易 的 商家 .能够 验证 
商家 与 金融 机 构 ( 清 算 行 ) 具 有 人 允许 其 接受 支付 卡 的 关系 。 仍 然 使 用 数字 签名 和 商家 证 书 来 
确保 商家 的 认证 。 

(5) 安全 技术 。 确 保 使 用 最 好 的 安全 模式 和 系统 设计 技术 保护 电子 交易 中 所 有 合法 方 
的 利益 。SET 是 基于 高 度 安全 的 密码 算法 和 协议 的 、 经 过 严格 测试 的 规范 。 

(6) 创建 一 个 不 依赖 于 传输 安全 机 制 也 不 妨碍 其 使 用 的 协议 。SET 可 以 在 原始 的 
TCP/IP 栈 上 实现 安全 访问 ,提供 点 到 点 的 安全 。SET 不 妨碍 其 他 安全 机 制 ( 如 IPSec 和 
SSL/TLS) 的 使 用 。 它 们 都 提供 安全 服务 .但 工作 方式 不 同 。SET 专门 设计 用 于 安全 支付 
交易 。 

(7) 在 软件 和 网 络 提供 者 之 间 提 供 功 能 设施 和 互 操 作 性 。SET 协议 和 格式 与 硬件 平 
台 ,操作 系统 和 Web 软件 无 关 。SET 规范 可 应 用 于 各 种 软 硬 件 平台 ,任何 拥有 兼容 软件 的 
持 卡 人 都 能 够 与 满足 定义 标准 的 任何 商家 通信 。 

为 了 达到 上 述 要 求 .SET 具有 下 述 特性 : 

。 信息 保密 性 : 持 卡 人 账号 和 支付 信息 在 网 络 传输 过 程 中 是 安全 的 。SET 的 一 个 有 

趣 而 重要 的 特性 是 它 提供 了 一 种 防止 获知 持 卡 人 信用 卡号 的 机 制 , 只 将 其 提供 给 发 
行 银行 。SET 使 用 传统 加 密 方法 DES 来 提供 保密 性 。 

。 数据 完整 性 : 持 卡 人 发 往 商家 的 支付 信息 包括 订购 信息 .个 人 数据 和 支付 指令 。 
SET 保证 这 些 消 息 内 容 在 传送 过 程 中 不 被 改动 。RSA 数字 签名 使 用 SHA-1 散 列 
编码 提供 消息 完整 性 。 某 些 消息 也 使 用 SHA-1 的 HMAC 保护 。 

。 持 卡 人 账号 认证 : SET 使 得 商家 能 够 验证 持 卡 人 是 否 为 合法 卡 账号 的 合法 用 户 。 
为 此 ,SET 使 用 带 有 RSA 签名 的 X. 509 v3 数字 证 书 。 

。 商家 认证 : SET 使 得 持 卡 人 能 验证 商家 是 否 与 允许 接收 支付 卡 的 金融 机 构建 立 了 
联系 。 为 此 ,SET 使 用 带 有 RSA 签名 的 X. 509 v3 数字 证 书 。 

SET 要 达到 的 最 主要 目标 是 : 

(1) 信息 在 公共 因特网 上 安全 传输 。 
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(2) 订单 信息 和 个 人 账号 信息 隔离 。 
(3) 持 卡 人 和 商家 相互 认证 。 


8.3.2 SET 系统 构成 
SET 系统 的 参与 方 如 图 8-8 所 示 。 


发 卡 机 构 


清算 银行 支付 网 关 
图 8-8 SET 的 组 成 


(1) 持 卡 人 (Cardholder) 。 在 电子 商务 环境 中 ,消费 者 和 企业 采购 员 使 用 个 人 计算 机 与 商 
家 通过 互联 网 进行 交互 。 持 卡 人 是 由 发 行 机 构 发 行 的 ,经 过 授权 的 支付 卡 ( 如 MasterCard， 
Visa) 的 持 有 者 。 

(2) 商家 (Merchant) 。 商 家 是 拥有 持 卡 人 所 需 商 品 或 服务 的 个 人 或 组 织 。 一 般 地 ,这 
些 商 品 和 服务 是 通过 Web 站 点 或 电子 邮件 提供 的 。 能 接受 支付 卡 的 商家 必须 与 清算 银行 
有 联系 。 

(3) 发 卡 机 构 (Issuer) 。 是 一 个 向 持 卡 人 建立 账户 并 发 放 支 付 卡 的 金融 机 构 , 如 银行 。 
一 般 地 ,通过 邮件 或 个 人 申请 账号 。 最 终 . 由 发 卡 机 构 为 持 卡 人 的 支付 账 务 负责 。 

(4) 清算 银行 (Acquirer)。 为 商家 建立 账号 、 处 理 支付 卡 认 证 和 支付 的 金融 机 构 。 商 
家 通常 可 以 接受 多 种 品牌 的 信用 卡 ,但 并 不 想 与 所 有 发 卡 机 构 打 交道 。 清 算 银 行 向 商家 提 
供认 证 ,提供 给 定 卡号 是 否 合法 和 信用 卡 的 消费 限额 等 信息 。 清 算 银 行 还 将 支付 信息 传送 
到 商家 的 账户 中 。 随 后 ,发卡 机 构 还 要 为 支付 网 络 中 的 电子 资金 流动 向 清算 银行 提供 补偿 。 

(5) 支付 网 关 (Payment Gateway)。 由 清算 银行 或 指定 的 第 三 方 提供 的 功能 ,人 处理 商家 
支付 信息 。 它 完成 众多 卡 品牌 的 支付 授权 服务 ,并 完成 清算 服务 和 数据 捕获 。 支 付 网 关 是 
SET 和 现存 的 银行 卡 支付 网 络 的 接口 ,提供 认证 和 支付 功能 。 商 家 通过 互联 网 使 用 支付 网 
关 交 换 SET 信息 .而 支付 网 关 与 清算 银行 的 金融 处 理 系 统 具 有 某 种 直接 的 连接 或 网 络 连 
接 。 支 付 网 关 以 如 下 方式 工作 : 加 密 消息 .认证 交易 中 的 所 有 参与 者 .将 SET 消息 转换 为 
与 商家 销售 系统 兼容 的 格式 。 

(6) 认证 机 构 (Certification Authority,CA)。 被 信任 的 .为 持 卡 人 、 商 家 和 支付 网 关 发 
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行 X. 509 v3 公 钥 证 书 的 实体 。SET 的 成 功 依 赖 于 为 此 目的 服务 的 CA 基础 设施 的 存在 。 
如 前 所 述 ,使 用 层次 CA ,使 得 各 方 不 需要 直接 被 根 CA 认证 。 

基于 SET 的 交易 流程 包括 以 下 几 个 步骤 : 

Q@ 顾客 开通 账号 。 顾 客 从 一 个 支持 电子 支付 和 SET 的 银行 获得 一 个 信用 卡 账号 ,如 
MasterCard 或 Visa。 

@ 顾客 申请 证 书 。 在 通过 适当 的 身份 验证 后 ,顾客 收 到 一 个 银行 签发 的 X. 509 v3 数 
字 证 书 。 证 书 验证 了 顾客 的 RSA 公 钥 和 有 效 期 限 ,并 建立 了 一 个 由 银行 担保 的 用 户 密 钥 对 
和 信用 卡 之 间 的 联系 。 

@ 商家 申请 证 书 。 商 家 在 能 够 接收 持 卡 人 的 SET 支付 指令 之 前 必须 向 某 个 CA 注册 
并 申请 证 书 。 接 收 某 品牌 信用 卡 的 商家 必须 拥有 两 种 公 钥 证 书 : 一 种 用 于 签名 消息 , 另 一 
种 用 于 密 钥 交换 。 商 家 还 需要 一 个 支付 网 关公 和 钥 证 书 的 备份 。 

由 顾客 进行 订购 。 用 户 首先 浏览 商家 的 Web 站 点 ,选择 商品 。 然 后 ,顾客 向 商家 发 送 
一 份 购买 清单 ,商家 发 回 一 个 带 有 各 种 商品 .单价 总 金额 和 订购 号 的 订购 单 。 

@ 商家 被 验证 。 除 了 订购 单 ,商家 还 发 给 客户 一 份 他 自己 的 证 书 , 使 得 用 户 可 以 验证 
他 正在 和 一 个 合法 的 商店 进行 交易 。 

@ 发 送 订 购 和 支付 信息 。 顾 客 发 送 带 有 其 证 书 的 订购 和 支付 信息 给 商家 。 其 订购 信 
息 确 认 了 订购 单 中 要 购买 的 项 目 。 支 付 信息 包括 信用 卡 细节 ,并 用 商家 无 法 解密 的 方法 加 
密 。 顾 客 的 证 书 可 以 使 商家 验证 顾客 。 

@ 商家 请 求 支付 认证 。 商 家 将 付款 信息 发 给 支付 网 关 , 请 求 认 证 顾客 提供 的 信用 卡 可 
以 支付 此 次 购买 。 

@ 商家 确认 订购 。 商 家 向 客户 发 送 订购 确认 消息 。 

@ 商家 提供 商品 或 服务 。 商 家 向 顾客 提供 商品 或 服务 。 

@ 商家 请 求 付款 。 此 请 求 发 给 支付 网 关 , 由 支付 网 关 处 理 所 有 的 支付 操作 。 


8.3.3 双向 签名 


SET 中 引进 了 双向 签名 机 制 。 双 向 签名 的 目的 在 于 将 两 个 接收 者 不 同 的 消息 连接 起 
来 。 客 户 想 给 商家 发 送 订购 信息 (OD ,给 银行 发 送 支付 信息 (PI) 。 商 家 不 需要 知道 客户 的 
信用 卡号 ,银行 不 需要 知道 客户 订购 的 细节 ,这 为 客户 提供 了 分 离 这 两 者 的 额外 保护 。 然 
而 ,必须 将 这 两 个 部 分 连接 在 一 起 以 解决 一 些 可 能 发 生 的 纠纷 ,因此 ,将 订购 信息 和 支付 
信息 连接 起 来 ,可 以 使 客户 证 明 这 笔 支 付 是 为 了 这 次 订购 ,而 不 是 为 其 他 商品 或 服务 的 
支付 。 

考虑 此 消息 连接 的 需求 。 假 设 客户 向 商家 发 送 了 两 个 消息 : 一 个 签名 的 OI 和 一 个 签 
名 的 PI, 然 后 由 商家 将 PI 传送 给 银行 。 如 果 商 家 从 此 客户 获得 了 另 一 个 OI. 则 商家 可 以 说 
这 个 OI 是 与 PI 配套 的 ,而 不 是 原来 的 那个 OI。 消 息 连 接 即 可 防止 此 类 事件 的 发 生 。 

图 8-9 说 明 使 用 双向 签名 满足 了 上 述 要 求 。 客 户 使 用 SHA-1 分 别 计算 PI 和 OI 的 散 
列 值 。 将 两 个 散 列 值 连接 后 .再 对 结果 使 用 散 列 。 最 后 ,客户 使 用 其 签名 私 钥 加 密 最 后 的 散 
列 值 , 创 建 双 向 签名 。 这 些 操作 可 以 总 结 如 下 : 

DS = ECOPRec.[LHCHCPID | HCOD7]) 
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POMD ! 双向 签名 
H FANE 

oI 

wl OIMD 

日 -| H 
PI 一 一 支付 信息 


息 E 摘要 
HH 一 一 散 列 函数 (SHA-1) POMD 一 一 支付 和 订购 消息 的 消息 摘要 
I 一 一 连接 符 E 一 一 加 密 (RSA) 
PRc 一 一 顾客 的 签名 私 钥 
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式 中 ,PRc 是 用 户 的 签名 私 钥 。 现 在 ,假设 商家 得 到 了 双 签 名 (DS),OI 和 PI 的 数字 摘要 
(PIMD)。 由 于 商家 拥有 从 客户 证 书 得 到 的 客户 公 钥 .使 得 商家 可 以 计算 如 下 两 个 值 : 
H(PIMS | H[OI1]); D(PUc ,DS) 
其 中 PUc 是 用 户 的 签名 公 钥 。 如 果 这 两 个 值 相等 ,商家 即 验证 了 签名 。 同 样 , 如 果 银 行 拥 
有 DS、PI 和 OI 的 数字 摘要 (OIMD) 用户 公 钥 , 则 银行 可 以 计算 : 
H(H[LOI] || OIMD); D(PUc ,DS) 
如 果 两 个 值 相等 ,银行 即 验 证 了 签名 。 总 之 : 
(1) 商家 接收 OI 并 验证 签名 。 
(2) 银行 接收 PI 并 验证 签名 。 
(3) 客户 链接 OI 和 PI, 可 以 证 明 此 连接 。 
例如 ,假设 商家 为 了 自身 的 利益 想 用 另 一 个 OI 替换 交易 中 的 OI, 他 就 必须 找到 与 现存 
散 列 值 OIMD 相同 的 OI。 对 SHA-1 而 言 ,这 是 不 可 行 的 。 因 此 ,商家 不 能 将 那个 OI 与 此 
PI 相连 。 


8.3.4 支付 处 理 


表 8-4 列举 了 SET 支持 的 交易 类 型 。 
表 8-4 SET 交易 类 型 


交易 类 型 说 明 

持 卡 人 注册 持 卡 人 在 向 商家 发 送 SET 消息 之 前 必须 到 CA 注册 

商家 注册 商家 在 与 顾客 和 支付 网 关 交 换 SET 消息 之 前 必须 到 CA 注册 

支付 请 求 顾客 发 给 商家 的 消息 ,包括 给 商家 的 OI 和 给 银行 的 PI 

支付 认可 商家 和 支付 网 关 间 交换 的 消息 ,验证 给 定 信 用 卡 账号 能 够 支持 一 次 购买 

支付 获取 允许 商家 向 支付 网 关 申 请 支付 
如 果 CA 无 法 快速 地 完成 证 书 请 求 处 理 . 它 将 给 持 卡 人 或 商家 发 送 一 个 应 答 ,说 

证 书 询问 状态 明 将 在 以 后 核对 。 持 卡 人 或 商家 发 送 证 书 询问 消息 查询 证 书 请 求 的 状态 ,如 果 
请 求 被 通过 . 则 收 到 证 书 
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续 表 
交易 类 型 说 明 
购买 询问 允许 持 卡 人 在 收 到 购买 应 答 后 查询 订购 处 理 的 状态 。 注 意 , 此 消息 不 包含 如 退 
货 等 状态 ,但 能 表明 认证 .获取 和 信用 处 理 等 状态 
撤销 认可 允许 商家 更 正 以 前 的 认可 请 求 。 如 果 订 购 未 成 , 则 商家 退回 所 有 的 认可 ,如 果 部 
分 订购 未 完成 (如 退货 ) , 则 商家 退回 部 分 认可 
撤销 获取 允许 商家 更 正 获 取 请 求 中 的 错误 ,如 店员 输入 了 不 正确 的 交易 数据 
允许 商家 在 退货 或 商品 在 运输 过 程 中 损坏 时 向 持 卡 人 账号 中 发 布 退 还 。 注 意 ， 
信用 SET 的 信用 消息 通常 是 由 商家 而 不 是 持 卡 人 发 送 的 ,商家 和 持 卡 人 之 间 的 通信 
使 得 在 SET 外 处 理 退 还 
撤销 信用 允许 商家 修正 前 一 个 退还 请 求 
支付 网 关 证 书 请 求 允许 商家 询问 网 关 , 得 到 它 的 密 钥 交换 和 签名 证 书 
批 管理 允许 商家 根据 批 命令 与 支付 网 关 交 换 信 息 
出 错 消息 表明 由 于 格式 或 内 容 验 证 问题 .接收 者 拒绝 消息 
1. 购买 请 求 


在 开始 购买 请 求 之 前 , 持 卡 人 必须 完成 浏览 .选择 和 订购 ,接着 商家 才 发 给 顾客 一 份 完 
整 的 订购 单 。 以 上 所 有 这 些 操作 都 不 需要 使 用 SET。 

购买 请 求 交换 由 4 条 消息 组 成 : 初始 请 求 .初始 应 答 ,购买 请 求 和 购买 应 答 。 

为 了 给 商家 发 送 SET 消息 , 持 卡 人 必须 拥有 一 份 商 家 和 支付 网 关 的 证 书 。 因 此 , 持 卡 
人 在 给 商家 的 初始 请 求 消 息 中 申请 得 到 这 些 证 书 , 该 消息 包括 顾客 使 用 的 信用 卡 品牌 、 代 表 
此 请 求 /应 答对 的 标识 以 及 与 时 间 相 关 的 nonce。 

商家 生成 应 答 消 息 ,并 用 签名 私 钥 签名 。 应 答 消 息 包括 从 顾客 请 求 中 得 到 的 nonce, 并 
将 在 下 一 条 消息 中 返回 的 新 产生 的 nonce 和 此 次 购买 交易 的 交易 标识 。 除 对 此 应 答 签 名 
外 ,初始 应 答 消息 还 包括 商家 的 签名 证 书 和 支付 网 关 的 密 钥 交换 证 书 。 

持 卡 人 通过 他 们 信任 的 CA 验证 商家 和 网 关 的 证 书 , 并 生成 OI 和 PI。 商 家 设置 的 交 
易 标识 放 入 OI 和 PI 中 ,OI 不 包含 具体 的 订购 数据 .如 商品 的 数量 和 单价 。OI 还 包含 在 第 
一 个 SET 消息 发 送 前 的 选 购 活 动 中 为 商家 和 顾客 之 间 交 换 信息 的 订购 索引 。 接 着 , 持 卡 人 
准备 购买 请 求 消息 ( 见 图 8-10) 。 为 此 , 持 卡 人 生成 一 次 性 的 对 称 加 密 密 钥 K,。 消 息 包括 : 

(1) 与 购买 相关 的 信息 。 此 信息 将 由 商家 转发 给 支付 网 关 , 组 成 有 PI、OI 消息 摘要 
(OIMD) 和 数字 信封 以 及 根据 PI 和 OI 计算 得 到 的 双向 签名 ,并 使 用 顾客 的 签名 私 钥 签名 。 

支付 网 关 需 要 OIMD 验证 双向 签名 .所 有 这 些 项 都 使 用 了 密 钥 K。 加 密 。 

数字 信封 用 支付 网 关 的 公开 交换 密 钥 K. 加 密 , 由 于 在 得 到 前 述 各 项 之 前 必须 先 解密 
此 项 ,因此 将 之 称 为 数字 信封 。 

商家 无 法 知道 K, 的 值 .因此 .商家 无 法 知道 任何 与 该 支付 相关 的 信息 。 

(2) 与 订购 相关 的 信息 。 此 信息 是 商家 需要 的 .组 成 有 OI 和 PI 消息 摘要 以 及 根据 PI 
和 OI 计算 得 到 的 双向 签名 ,并 使 用 顾客 的 签名 私 钥 签 名 。 

商家 需要 PIMD 验证 双向 签名 .注意 OI 是 以 明文 传送 的 。 

(3) 持 卡 人 证 书 。 包 含 持 卡 人 的 公开 签名 密 钥 .商家 和 支付 网 关 都 需要 。 

当 商 家 接收 到 购买 请 求 消息 后 , 它 执行 如 下 步骤 ( 见 图 8-11): 
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0 PI 支 人 
OIL 一 一 订购 信息 
PIMD 一 一 PI 的 消息 摘要 
OIMD 一 一 消息 摘要 
E 一 一 加 密 ( 非 对 称 RSA， 对 称 DES) 
K。 一 一 临时 对 称 密 钥 
PUB 一 一 银行 公开 密 钥 交换 密 钥 
图 8-10 ”购买 请 求 
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8-11 购买 请 求 验证 


@ 通过 它 的 CA 签名 验证 持 卡 人 证 书 。 

@ 使 用 顾客 的 签名 公 钥 验证 双向 签名 ,确保 在 传输 过 程 中 订购 未 被 算 改 ,用 持 卡 人 的 
签名 私 钥 签 名 。 

@ 处 理 订 购并 将 支付 信息 转发 给 支付 网 关 进 行 验 证 。 
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@ 向 持 卡 人 发 送 购买 应 答 。 
购买 应 答 消息 包括 承认 订购 的 应 答 分 组 和 相应 的 交易 号 索引 ,使 用 商家 的 签名 私 钥 签 
名 ,并 将 数据 分 组 、 签 名 和 商家 签名 证 书 一 起 发 给 顾客 。 
当 持 卡 人 软件 收 到 购买 应 答 消 息 后 .使 用 商家 证 书 验证 应 答 分 组 上 的 签名 。 最 后 ,基于 
应 答 进行 某 些 操作 ,如 给 用 户 一 个 消息 或 更 新 订购 库 的 状态 。 
2. 支付 认可 
在 持 卡 人 订购 消息 的 处 理 中 ,商家 与 支付 网 关 一 起 认可 交易 。 支 付 认可 使 得 发 卡 机 构 
对 交易 进行 担保 。 认 证 能 确保 商家 收 到 支付 ,而 使 商家 能 向 顾客 提供 服务 或 商品 。 支 付 授 
权 交 换 由 两 个 消息 组 成 : 认可 请 求 和 认可 应 答 。 
商家 向 支付 网 关 发 送 的 认可 请 求 消息 包括 : 
(1) 与 购买 相关 的 信息 。 从 客户 获得 的 信息 ,包括 PI、.DI 消息 摘要 COIMD) 和 数字 信封 
以 及 根据 PI 和 OI 计算 得 到 的 双向 签名 ,并 使 用 顾客 的 签名 私 钥 签名 。 
(2) 与 认可 相关 的 信息 。 由 商家 生成 的 信息 ,包括 : 
。 认证 分 组 : 使 用 商家 签名 私 钥 签名 的 交易 标识 ,并 使 用 商家 生成 的 一 次 性 对 称 密 钥 
加 密 。 
。 数字 信封 : 使 用 支付 网 关 的 公开 交换 密 钥 加 密 一 次 性 密 钥 形成 数字 信封 。 
(3) 证 书 。 商 家 包括 持 卡 人 签名 密 钥 证 书 ( 用 于 验证 双向 签名 ) 、 商 家 签名 密 钥 证 书 ( 用 
于 验证 商家 签名 ) 以 及 商家 密 钥 交 换 证 书 ( 在 支付 网 关 的 应 答 中 需要 ) 。 
支付 网 关 执 行 如 下 任务 : 
@ 验证 所 有 的 证 书 。 
@ 解密 认证 分 组 的 数字 信封 ,获得 对 称 密 钥 ,解密 认证 分 组 。 
@ 验证 认证 分 组 的 商家 签名 。 
@ 解密 支付 分 组 的 数字 信封 ,获得 对 称 密 钥 ,解密 支付 分 组 。 
@ 验证 支付 分 组 的 双向 签名 。 
@ 验证 从 商家 接收 到 的 交易 标识 ,与 从 客户 端 接收 (间接 ) 的 PI 的 交易 标识 比较 。 
Q@ 请 求 和 接收 来 自 于 发 卡 机 构 的 认证 。 
获得 发 卡 机 构 的 认可 后 ,支付 网 关 返 回 认 证 应 答 消息 给 商家 ,包含 如 下 元 素 : 
。 与 认证 相关 的 信息 : 包含 用 网 关 签 名 私 钥 签名 的 认证 分 组 ,并 用 网 关 生 成 的 一 次 性 
对 称 密 钥 加 密 。 同 时 还 包含 用 商家 交换 密 钥 的 公 钥 加 密 的 一 次 性 密 钥 组 成 的 数字 
信封 。 
。 获取 标记 信息 : 此 信息 用 于 以 后 的 支付 。 此 分 组 包含 签名 、 加 密 的 获取 标记 和 数字 
信封 。 此 标记 不 由 商家 处 理 , 而 必须 在 支付 请 求 中 返回 。 
。 证 书 : 网 关 的 签名 密 钥 证 书 。 
有 了 网 关 的 认证 ,商家 即 可 向 顾客 提供 商品 或 服务 。 
3. 支付 获取 
为 了 获得 支付 款 , 商 家 向 支付 网 关 请 求 支付 款 获取 交易 ,由 获取 请 求 和 获取 应 等 两 个 消 
息 组 成 。 
对 获取 请 求 消息 而 言 ,商家 对 获取 请 求 分 组 (包括 付款 金额 、. 交 易 标识 ) 签 名 .加 密 。 消 
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息 还 包括 在 认可 应 答 消 息 中 收 到 的 被 加 密 的 获取 令 牌 、 商 家 的 签名 密 钥 和 交换 密 钥 的 密 角 
当 支 付 网 关 接 收 到 获取 请 求 消息 时 .解密 和 验证 获取 请 求 分 组 和 获取 标记 。 然 后 验证 
获取 请 求 与 获取 令 牌 的 一 致 性 。 接 着 ,创建 一 个 通过 专用 支付 网 络 传送 的 请 求 消息 ,使 得 资 
金 能 够 转 到 商家 的 账号 。 
然后 ,网 关 在 获取 应 答 消息 中 通知 商家 已 支付 。 消 息 包括 由 网 关 签 名 和 加 密 的 获取 应 
答 分 组 ,还 包括 网 关 的 签名 密 钥 证 书 。 商 家 软件 存储 获取 应 答 ,便于 和 从 清算 银行 获得 的 支 
付 进 行 验证 。 
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随 着 Internet 的 迅速 发 展 和 普及 ,电子 邮件 已 经 成 为 网 络 中 最 为 广泛 .最 受 欢 迎 的 应 用 
之 一 。 电 子 邮 件 系统 以 其 方便 ,快捷 的 优势 而 成 为 人 们 进行 信息 交流 的 重要 工具 ,并 被 越 来 
越 多 地 应 用 于 日 常生 活 和 工作 ,特别 是 有 关 日 常 信息 交流 ,企业 商务 信息 交流 和 政府 网 上 公 
文 流转 等 商务 活动 和 管理 决策 的 信息 沟通 ,为 提高 社会 经 济 运行 效率 起 到 了 巨大 的 带动 作 
用 ,已 经 成 为 企业 信息 化 和 电子 政务 的 基础 。 

电子 邮件 的 发 展 也 面临 着 机 密 泄露 ,信息 欺骗 ,病毒 侵扰 、 垃 圾 邮件 等 诸多 安全 问题 的 
困扰 。 人 们 对 电子 邮件 服务 的 要 求 日 渐 提 高 ,其 认证 和 保密 性 的 需求 也 日 益 增 长 。 电 子 签 
名 法 、 反 垃圾 邮件 等 与 电子 邮件 安全 相关 的 法 律 法 规 正 是 在 这 样 的 背景 下 提出 来 的 。 

为 了 保证 电子 邮件 在 Internet 上 安全 的 运行 ,在 理想 状态 下 ,应 该 共用 一 个 Internet 上 
电子 邮件 的 安全 标准 ,所 有 的 邮件 开发 者 和 厂商 都 应 该 严格 执行 它 。 目 前 Internet 上 有 许 
多 电子 邮件 的 安全 标准 ,如 Moss (MIME Object Security Services), PEM (Privacy 
Enhanced Mail) .PGP(Pretty Good Privacy) ,SVMIME(Secure/Multipurpose Internet Mail 
Extensions) 等。MIME 对 象 安全 服务 (Moss) 和 保密 增强 邮件 (PEM) 是 没有 被 广泛 实现 的 
标准 。S/MIME 是 一 种 已 被 广泛 接受 的 标准 ,并 被 集成 到 主要 电子 邮件 软件 中 。S/MIME 
是 在 PEM 的 基础 上 建立 起 来 的 , 它 使 用 RSA 的 PKCS#7 标准 , 同 MIME 一 起 使 用 来 保密 
所 有 的 Internet 邮件 信息 ,主要 针对 Internet 或 企业 网 。S/MIME 已 得 到 了 许多 机 构 的 支 
持 ,并且 被 认为 是 商业 环境 下 首选 的 安全 电子 邮件 协议 。PGP 既是 一 个 特定 的 安全 电子 邮 
件 应 用 ,又 是 一 个 安全 电子 邮件 ,已 经 成 为 全 球 范 围 内 流行 的 安全 邮件 系统 之 一 。 

本 章 首 先 介绍 电子 邮件 系统 的 基本 构成 及 甚 面临 的 安全 问题 , 接 下 来 讨论 三 种 安全 电 
子 邮 件 系统 : PEM、PGP 和 S/MIME。 


9.1 电子 邮件 的 安全 问题 


9.1.1 电子 邮件 系统 概述 


电子 邮件 是 一 种 用 电子 手段 提供 信息 交换 的 通信 方式 。 它 不 是 一 种 * 端 到 端的 服务 ， 
而 是 “存储 转发 式 ” 的 服务 . 属 异 步 通信 方式 。 信 件 发 送 者 可 随时 随地 发 送 邮件 ,不 要 求 接收 
者 同时 在 场 , 即 使 对 方 当 时 不 在 , 仍 可 将 邮件 立刻 送 到 对 方 的 信箱 内 , 且 存 储 在 对 方 的 电子 
邮箱 中 。 接 收 者 可 在 他 认为 方便 的 时 候 读 取信 件 , 不 受 时 空 限制 。 在 这 里 发送” 邮件 意味 
着 将 邮件 放 到 收 件 人 的 信箱 中 ,而 “接收 ”邮件 则 意味 着 从 自己 的 信箱 中 读 取 信件 。 所 谓 信 
箱 , 实 际 上 是 一 个 名 为 “邮件 服务 器 ”的 计算 机 为 每 位 用 户 分 配 的 一 定 大 小 的 存储 空间 ,该 存 
储 空间 包含 存放 所 收 信件 、 编 辑 信 件 以 及 信件 存档 三 个 基本 的 子 空 间 。 用 户 使 用 口令 开启 
自己 的 信箱 ,并 进行 发 信 、 读 信 、 编 辑 、 转 发 .存档 等 各 种 操作 。 电 子 邮件 是 通过 邮件 服务 器 
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来 传递 文件 的 。 

1. 系统 结构 

一 个 典型 的 电子 邮件 系统 如 图 9-1 所 示 。 
邮件 服务 器 


| 一 远程 MTA 
POP3/IMAP 
Server 


WebMail 


浏览 器 


客户 机 
图 9-1 电子 邮件 系统 框架 


在 通常 的 情况 下 ,一 个 电子 邮件 系统 主要 分 为 邮件 用 户 代 理 (Mail User Agent， 
MUA)、 邮 件 传 输 代 理 (Mail Transfer Agent,MTA) 和 邮件 投递 代理 (Mail Delivery Agent， 
MDA) 三 个 模块 。 用 户 代理 是 一 个 用 户 端 发 信和 收 信 的 程序 .负责 将 邮件 按 一 定 的 标准 封 
装 , 并 送 至 邮件 服务 器 或 将 信件 从 邮件 服务 器 取 回 。 传 输 代 理 和 投递 代理 则 位 于 邮件 服务 
器 上 ,传输 代理 负责 信件 的 交换 和 传输 ,将 信件 转发 至 适当 的 邮件 服务 器 ;: 投递 代理 将 信件 
发 至 不 同 的 信箱 。WebMail 模块 是 一 系列 CGI 程序 ,提供 邮件 系统 的 管理 和 用 户 邮 箱 的 操 
作 ,不 需要 专门 的 客户 端 软 件 , 只 要 有 浏览 器 ,管理 员 就 可 以 远程 对 邮件 系统 进行 管理 ,用 户 
可 以 登录 自己 的 邮箱 ,进行 信件 的 阅读 .收取 和 发 送 操作 。 

当 用 户 发 送 一 封 电 子 邮 件 时 ,并 不 能 直接 将 信件 发 送 到 接收 方 邮件 地 址 指定 的 目的 服 
务 器 上 ,而 是 必须 首先 去 寻找 一 个 邮件 服务 器 ,把 邮件 提交 给 该 服务 器 。 服 务 器 的 传输 代理 
得 到 了 邮件 后 ,将 它 保存 在 自身 的 缓冲 队列 中 ,并 分 析 邮 件 的 目标 地 址 ,如 果 目 的 服务 器 不 
是 自己 , 则 通过 网 络 将 邮件 传送 给 目的 服务 器 或 离 目 的 地 最 近 的 服务 器 。 因 此 ,邮件 在 
Internet 上 传送 时 可 能 会 经 过 许多 站 点 ,在 多 个 邮件 服务 器 上 作 短 暂停 留 ,每 一 个 邮件 服务 
器 的 处 理 流程 都 是 相同 的 .直至 到 达 目 的 服务 器 。 目 的 服务 器 的 传输 代理 接收 到 邮件 之 后 ， 
将 其 缓冲 存储 在 本 地 .而 投递 代理 则 从 传输 代理 取得 信件 ,并 传送 至 最 终 用 户 的 邮箱 。 邮 件 
传送 的 整个 过 程 如 图 9-2 所 示 。 


MUAI 一 MTA 攻 -| MDA -一 MUA2 


9-2 ”电子 邮件 传送 过 程 


在 图 9-2 中 ,箭头 方向 表示 邮件 数据 的 传递 方向 , 虚 箭头 表示 通信 双方 可 能 直接 连接 ， 
也 可 能 中 间 还 要 经 历 其 他 传输 代理 。 
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2. 电子 邮件 协议 

邮件 协议 主要 描述 电子 邮件 发 送 端 和 接收 端 之 间 的 传输 过 程 以 及 定义 邮件 报 文 格式 。 
与 电子 邮件 有 关 的 协议 和 标准 主要 有 : 

(1) SMTP(Simple Mail Transfer Protocol, 简 单 邮 件 传输 协议 )。SMTP 是 Internet 上 
传输 电子 邮件 的 标准 协议 ,用 于 提交 和 传送 电子 邮件 ,规定 了 主机 之 间 传 输电 子 邮件 的 标准 
交换 格式 和 邮件 在 链 路 层 上 的 传输 机 制 。SMTP 通常 用 于 把 电子 邮件 从 客户 端 传 输 到 邮 
件 服务 器 ,以 及 从 某 一 邮件 服务 器 传输 到 另 一 个 邮件 服务 器 。 

(2) POP3(Post Office Protocol ,邮局 协议 ) 。 目 前 是 第 3 版 。POP3 是 一 个 离线 协议 ,提供 
信息 存储 功能 ,负责 为 用 户 保存 收 到 的 电子 邮件 ,并 且 从 邮件 服务 器 下 载 取 回 这 些 邮 件 。 

(3) IMAP(Interactive Mail Access Protocol, 交 互 式 邮件 访问 协议 )。 目 前 是 第 4 版 。 
当 邮 件 客户 端 软件 在 笔记 本 上 运行 时 (特别 是 通过 慢 速 的 电话 线 访 问 Internet 和 电子 邮件 
时 ),IMAP4 比 POP3 更 为 适用 。 使 用 IMAP, 用 户 可 以 有 选择 地 下 载 电 子 邮 件 , 甚 至 是 只 
下 载 部 分 邮件 。 因 此 ,IMAP 比 POP 更 加 复杂 。 

(4) MIME( 多 用 途 的 网 际 邮件 扩展 )。SMTP 传输 机 制 是 以 7 位 二 进 制 编码 的 ASCII 
码 为 基础 的 ,适合 传送 文本 邮件 。 而 声音 、 图 像 、 中 文 等 使 用 8 位 二 进 制 编码 的 电子 邮件 需 
要 进行 ASCII 转换 (编码 ) 才 能 够 在 Internet 上 正确 传输 。MIME 增强 了 电子 邮件 报 文 的 
能 力 ,允许 传输 二 进 制 数据 。MIME 编码 技术 用 于 将 数据 从 8 位 的 编码 格式 转换 成 7 位 的 
ASCII 码 格式 。 


9.1.2 电子 邮件 安全 服务 


电子 邮件 作为 Internet 上 最 重要 的 服务 的 同时 ,也 是 安全 漏洞 最 多 的 服务 之 一 。 电 子 
邮件 系统 服务 之 所 以 是 一 种 最 脆弱 的 服务 ,是 因为 它 可 以 接收 来 自 于 Internet 上 任何 主机 
的 任何 数据 .缺乏 安全 机 制 的 电子 邮件 会 给 人 们 的 隐私 和 安全 带 来 严重 的 威胁 .甚至 严重 影 
响 人 与 人 之 间 的 交流 。 下 面 将 介绍 电子 邮件 几 种 常见 的 攻击 。 

1. 邮件 窃听 

穷 听 一 直 是 网 络 安全 所 面临 的 一 个 严重 的 问题 .攻击 者 通过 穷 听 .能 够 在 通信 双方 不 知 
情 的 情况 下 获得 大 量 的 传输 信息 。 电 子 邮 件 的 传送 方式 是 “存储 转发 式 ” 的 ,一 份 邮件 的 传 
输 中 间 要 经 过 很 多 个 站 点 ,而 且 现 在 的 邮件 一 般 都 是 以 明文 的 形式 在 网 上 传输 ,攻击 者 可 以 
很 容易 窃听 数据 包 或 者 截取 正在 传输 的 信息 。 

可 以 通过 使 用 匿名 邮件 转发 器 来 降低 邮件 窃听 对 用 户 造 成 的 影响 。 该 转发 器 作为 一 个 
服务 器 运行 ,用 于 伪装 发 送 方 或 者 接收 方 的 身份 。 但 是 .这 个 方法 只 用 于 对 身份 进行 简单 的 
伪装 ,而 不 能 够 真正 解决 邮件 窃听 的 问题 。 防 止 窃听 的 一 个 比较 有 效 的 方法 是 采用 密码 技 
术 ,在 网 络 上 发 送 数据 前 加 密 机 器 之 间 的 通信 和 链 路 或 者 加 密 传 送 的 数据 。 

2. 邮件 伪造 

攻击 者 有 可 能 会 假冒 某 一 个 用 户 的 身份 给 其 他 用 户 发 送 邮件 。 在 电子 邮件 系统 中 , 因 
为 SMTP 不 提供 任何 验证 ,所 以 很 容易 伪造 电子 邮件 ,只 要 给 SMTP 服务 器 提供 合适 的 信 
封 信息 ,并 使 用 想 要 的 数据 产生 有 关 的 信件 即 可 。 

防止 假冒 身份 最 直接 的 方法 就 是 身份 认证 。 
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3. 邮件 病毒 

邮件 病毒 就 是 通过 电子 邮件 进行 传播 的 计算 机 病毒 。 带 有 病毒 的 邮件 附件 会 感染 计算 
机 ,它们 可 能 会 明显 地 破坏 计算 机 的 正常 运行 。 

为 了 防止 病毒 的 传播 ,应 该 在 计算 机 上 安装 防毒 和 杀毒 的 软件 ,并 且 保 证 及 时 更 新 病 
毒 库 。 

4. 垃圾 邮件 和 邮件 炸弹 

垃圾 邮件 就 是 未 经 用 户 请 求 强行 发 到 用 户 信 箱 中 的 任何 广告 .宣传 资料 .病毒 等 内 容 的 
电子 邮件 ,一 般 具 有 批量 发 送 的 特征 。 邮 件 炸弹 是 指 发 信者 利用 邮箱 空间 的 有 限 容 量 来 攻 
击 用 户 邮 箱 , 以 匿名 的 电子 邮件 地 址 ,不 断 重复 地 将 电子 邮件 寄 给 同一 个 收 件 人 ,将 收 件 人 
信箱 塞 满 ,使 有 用 的 信件 无 法 被 接收 ; 或 者 在 很 短 时 间 内 向 邮件 服务 器 发 送 大 量 无 用 的 邮 
件 ,从 而 使 邮件 服务 器 不 堪 重 负 而 出 现 竣 痪 。 

对 于 垃圾 邮件 和 邮件 炸弹 比较 有 效 的 防范 措施 是 在 电子 邮件 系统 中 安装 一 个 过 滤器 ， 
在 接收 任何 电子 邮件 之 前 预先 检查 发 件 人 的 资料 ,如 果 觉 得 有 可 疑 之 处 ,可 以 将 之 删除 。 

为 了 实现 电子 邮件 安全 ,人 们 希望 邮件 系统 应 该 提供 以 下 服务 : 

。 保密 性 : 对 电子 邮件 加 密 ,确保 只 有 预期 的 接收 者 才能 阅读 邮件 消息 ,邮件 内 容 不 
暴露 给 非 授 权 的 第 三 方 。 更 进一步 .攻击 者 不 仅 无 法 知道 某 邮 件 的 内 容 , 甚 至 不 能 
确定 发 送 者 向 接收 者 是 否 发 送 了 邮件 。 

。 身份 认证 : 接收 者 具有 某 种 途径 确定 发 送 者 身份 的 真实 性 ,而 不 是 他 人 冒充 的 。 

。 完整 性 : 向 接收 者 保证 邮件 消息 在 传送 过 程 中 未 被 非法 算 改 。 

。 不 可 否认 性 : 接受 者 向 第 三 方 证 明 发 送 者 的 确 发 送 过 某 邮 件 的 能 力 ,该 服务 也 叫做 
第 三 方 认证 。 因 此 ,发 送 者 不 能 否认 曾经 发 送 过 某 个 消息 。 

。 邮件 提交 证 据 : 给 发 送 者 的 证 据 ,证明 其 发 送 的 邮件 消息 已 经 被 提交 给 了 邮件 投递 
系统 。 不 仅 证 明 用 户 在 某 个 时 间 的 确 提 交 了 邮件 ,而且 可 以 对 邮件 内 容 的 散 列 进行 
数字 签名 以 校 验 邮 件 消息 内 容 是 否 可 以 接受 。 

。 邮件 投递 证 据 : 证 明 接 收 者 已 经 接收 到 邮件 消息 的 证 明 。 不 仅 可 以 证 明 邮 件 在 某 
个 时 间 确 实 投递 给 了 接收 者 ,而 且 能 够 证 实 邮件 的 内 容 。 

。 匿名 性 : 向 邮件 接收 者 隐藏 发 送 者 的 身份 信息 。 

。 防 泄露 : 网 络 能 够 保证 具有 某 种 安全 级 别 的 信息 不 会 泄露 到 特定 的 区 域 。 

。 审计 : 网 络 能 够 记录 相关 的 安全 事件 。 

。 自 毁 : 发 送 者 可 以 规定 邮件 被 投递 到 接收 方 后 应 当 被 销毁 。 

。 消息 序列 完整 性 : 保证 一 系列 消息 按照 顺序 到 达 ,而 不 会 乱 序 或 丢失 。 

但 是 , 现 有 的 大 多 数 电子 邮件 系统 都 不 难 提 供 这 些 安 全 服务 ,一 些 专门 设计 的 安全 电子 

邮件 系统 也 只 提供 其 中 的 若干 种 。 


9.2 PEM 


保密 增强 邮件 (Privacy Enhanced Mail. PEM) 是 基于 X. 509 vl 而 提出 的 一 个 专用 于 
安全 E-mail 通信 的 正式 Internet 标准 。PEM 目的 是 为 了 增强 个 人 的 隐私 功能 , 它 在 电子 
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邮件 的 标准 格式 上 增加 了 加 密 、 鉴 别 和 密 钥 管理 的 功能 , 允许 使 用 公开 密 钥 和 专用 密 钥 的 
加 密 方式 , 并 能 够 支持 多 种 加 密 工 具 。4 个 和 PEM 相关 的 RFC: RFC 1421、RFC 1422、 
RFC 1423 和 RFC 1424, 其 中 RFC 1421 介绍 了 消息 加 密 和 验证 过 程 ,RFC 1422 给 出 了 基 
于 证 书 的 密 钥 管理 ,RFC 1423 讲述 了 算法 .模式 和 身份 认证 ,RFC 1424 讲述 了 密 钥 证 书 和 
相关 服务 。 

在 制定 PEM 的 时 候 , 由 于 MIME 标准 在 当时 还 并 不 完善 , 所 以 使 用 了 在 RFC 934 中 
定义 的 较 老 的 基于 文本 的 邮件 格式 。 因 此 ,PEM 是 一 个 只 能 够 保密 文本 信息 的 非常 简单 的 
系统 , 不 适合 处 理 当 前 多 种 形式 的 邮件 内 容 实 体 。 虽 然 PEM 现在 已 经 基本 上 失去 了 生命 
力 , 但 是 ,PEM 是 第 一 个 安全 邮件 的 标准 ,并 对 当前 广泛 使 用 的 S/MIME 有 着 深远 影响 。 
只 要 理解 了 PEM ,理解 S/MIME 就 很 容易 了 。 

PEM 的 设计 允许 用 户 采 用 基于 对 称 密码 算法 或 公 钥 密码 算法 的 用 户 密 钥 。 但 是 ,在 实 
际 应 用 中 ,基于 对 称 密码 算法 的 密 钥 没有 得 到 广泛 应 用 。 


9.2.1 PEM 密 钥 


无 论 对 邮件 消息 进行 完整 性 保护 还 是 进行 加 密 处 理 ,PEM 都 需要 得 到 合适 的 密 钥 。 
PEM 使 用 两 级 密 钥 : 数据 加 密 密 钥 (DEK) 和 交换 密 钥 (IK)。DEK 用 来 加 密 消息 正文 和 计 
算 消息 集成 校 验 (MIC) ,同时 用 来 加 密 MIC 的 签名 表示 ; 一 般 对 每 个 消息 都 要 生成 一 个 随 
机 数 作为 DEK, 从 而 达到 一 次 性 密 钥 的 效果 。 而 IK 是 长 期 密 钥 ,用 来 加 密 DEK ,以 便 在 每 
次 会 话 的 初始 阶段 对 DEK 进行 加 密 交 换 。 在 基于 公 钥 密码 的 PEM 中 ,加 密 DEK 的 IK 就 
是 收 方 的 公 钥 ,对 MIC 签名 的 IK 就 是 发 方 私 钥 。 

在 采用 公 钥 密码 技术 的 PEM 中 , 公 钥 是 通过 证 书 来 分 发 的 。 如 果 存 在 功能 完善 的 证 
书目 录 服 务 , 则 PEM 用 户 能 够 在 需要 PEM 协助 的 情况 下 获得 证 书 。 但 PEM 的 设计 目标 
之 一 是 在 一 个 可 用 的 目录 服务 出 现 之 前 也 能 保证 PEM 的 运作 。 因 此 ,PEM 定义 了 在 消息 
头 中 包含 发 送 者 证 书 的 机 制 。 这 样 ,消息 接收 者 就 可 以 再 不 需要 访问 目录 服务 的 情况 下 校 
验 发 送 者 的 签名 。 而 且 , 用 户 还 可 以 采用 这 种 方法 把 自己 的 公 钥 证 书 发 送 给 想 要 给 自己 发 
送 加 密 消息 的 人 。 采 用 这 种 机 制 ,发 送 者 只 需要 使 用 PEM 生成 一 个 邮件 消息 ,并 把 所 有 证 
书 放 在 消息 头 中 即 可 。 第 一 个 消息 是 不 加 密 的 .否则 双方 无 法 获知 对 方 的 公 钥 。 


9.2.2 PEM 证 书 分 层 结 构 


PEM 的 证 书 分 层 结构 比较 复杂 。 它 确定 了 一 个 简单 而 又 严格 的 全 球 认证 分 级 的 严格 
信任 模型 ,需要 所 有 参与 认证 的 个 人 必须 相互 认识 并 予以 对 方 信任 , 这 样 的 标准 对 于 那些 
大 规模 的 企业 或 组 织 来 说 难以 接受 。 这 个 分 层 的 结构 太 严 格 , 因而 缺乏 足够 的 灵活 性 , 现 
在 基本 上 已 经 不 再 使 用 。 

RFC 1422 定义 了 一 种 CA 的 组 织 方式 。 首 先 , 有 一 个 单一 的 根 CA , 称 为 Internet 策略 
注册 中 心 (Internet Policy Registration Authority.IPRA)。IPRA 认证 的 CA 称 为 策略 认证 
中 心 (Policy Certification Authority,PCA) ,每 个 PCA 都 有 一 份 书面 的 、 签 发 证 书 时 执行 的 
策略 。PCA 的 设计 预想 了 至 少 3 种 类 型 的 策略 : 

(1) 高 可 靠 性 (High Assurance.HA)。HA CA 意味 着 超 高 的 安全 性 ,应 当 实 现在 特殊 
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方法 设计 的 、 抗 干扰 的 硬件 设备 上 。 即 使 整个 硬件 设备 丢失 ,也 无 法 从 中 提取 HA CA 的 公 
钥 。 如 果 某 个 机 构 在 CA 管理 和 证 书 发 放 方 面 不 具有 与 HA CA 相同 的 严格 规则 , 则 HA 
CA 拒绝 为 其 签发 证 书 。 

(2) 受 限 (Discretionary Assurance, DA)。DA CA 是 指 自身 具有 严格 的 管理 措施 ,但 
是 不 能 把 相同 的 规则 强加 给 那些 由 其 签发 CA 证 书 的 机 构 。 从 技术 的 角度 ,IPRA 属于 DA 


CA 的 范畴 。 
(3) 无 约束 (No Assurance, NA)。NA 类 型 的 CA 几乎 不 受 约束 ,除了 不 允许 为 一 个 名 
字 签 发 两 张 证 书 以 外 。 
RFC 1422 定义 的 CA 结构 如 图 9-3 所 示 。 
IPRA 
ee 


A CA HACA CA CA CA 


1 A 


个 体 HA CA 个 体 CA 个 体 个 体 
> 


图 9-3 PEM CA 分 层 结构 


CA 分 层 结构 可 以 看 作 一 棵 树 。CA 分 层 结 构 中 的 任何 人 只 能 有 一 条 认证 路 径 。 如 果 
某 个 机 构 决定 让 某 DA CA 对 其 进行 认证 , 则 该 机 构 就 不 能 再 被 某 个 HA CA 认证 , 即 不 允 
许 交 叉 证 书 。 这 种 方式 使 得 人 们 很 容易 得 到 正确 的 证 书 链 。 人 们 所 需 的 包含 最 多 证 书 的 证 
书 链 是 从 IPRA 开始 的 。 

PEM 设计 目标 是 即使 不 存在 目录 服务 ,PEM 也 是 可 用 的 。 因 此 ,PEM 定义 了 在 邮件 
消息 头 中 包含 相关 证 书 的 机 制 。PEM 消息 头 中 没有 为 CRL 保留 位 置 ,而 是 定义 了 一 种 
CRL 服务 ,用 户 向 该 服务 发 送 邮件 消息 来 请 求 CRL。 一 旦 接收 到 请 求 .CRL 服务 就 把 最 新 
的 CRL 以 邮件 消息 的 方式 发 送 个 请 求 者 。 


9.2.3 PEM 消息 


PEM 消息 通常 只 是 普通 文本 邮件 消息 的 一 部 分 。 一 个 邮件 消息 可 以 包含 由 PEM 以 
不 同方 式 处 理 的 多 个 部 分 。 例 如 .消息 的 一 部 分 经 过 加 密 , 而 另 一 部 分 经 过 完整 性 保护 处 
理 。PEM 在 不 同 的 部 分 开始 和 结束 的 地 方 做 上 标记 ,以 便 接收 方 对 消息 的 处 理 。 例 如 ,对 
加 密 的 数据 块 ,PEM 会 在 数据 开始 出 插入 文本 串 


和 PEM 消息 一 起 发 送 的 还 有 另外 一 些 信息 :例如 加 密 密 钥 .消息 完整 性 校 验 码 
(Message Integrity Check,.MIC, 即 通常 所 说 的 MAC) 等 。 
PEM 消息 中 可 以 包含 的 数据 类 型 如 下 : 
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(1) 普通 数据 。 未 经 任何 安全 措施 处 理 的 数据 。 

(2) 完整 性 保护 的 未 经 修改 数据 。 邮 件 消 息 中 插入 了 MIC, 但 原始 消息 未 经 修改 。 
PEM 定义 的 MIC 生成 算法 为 MD2 和 MD5。 这 种 类 型 数据 在 PEM 术语 中 称 为 MIC- 
CLEAR。 如 果 该 种 类 型 数据 在 传输 过 程 中 被 某 些 邮件 网 关 进 行 了 诸如 换行 符 转 换 之 类 的 
处 理 , 则 MIC 将 失效 。 

(3) 完整 性 保护 的 编码 数据 。PEM 首先 对 消息 进行 编码 处 理 , 以 保证 消息 能 不 被 修改 
地 穿越 所 有 网 关 , 然 后 再 插入 MIC。 这 种 消息 称 为 MIC-ONLY。 

(4) 完整 性 保护 .加密 的 编码 数据 。PEM 首先 计算 邮件 消息 的 MIC, 然 后 使 用 随机 选 
择 的 密 钥 DEK 对 消息 和 MIC 进行 加 密 处 理 。 加 密使 用 DEK 和 初始 向 量 IV, 采 用 CBC 模 
式 。 对 每 个 进行 加 密 的 消息 都 要 进行 填充 ,使 得 消息 长 度 为 8 字 节 的 整数 倍 。 然 后 ,加 密 的 
消息 .加 密 的 MIC、DEK( 已 使 用 IK 加 密 ) 被 编码 成 为 能 不 被 修改 地 穿越 所 有 网 关 的 普通 文 
本 。PEM 称 这 种 类 型 的 消息 为 ENCRYPTED。ENCRYPTED 消息 发 送 和 接收 的 大 致 流 
程 如 图 9-4 所 示 。 


邮件 正文 
! 接收 邮件 
计算 MIC 
1 PEM 部 帮 
项 充 析 取 名 分 
| 了 
解码 
加 密 
1 
编码 
封装 成 PEM 消 息 
了 
仍 入 到 邮件 正文 解密 通知 用 户 
了 了 
发 送 邮 件 形成 明文 邮件 
(a) PEM 邮 件 加 密 和 签名 (b) PEM 邮 件 接收 和 验证 


图 9-4 PEM ENCRYPTED 消息 处 理 


PEM 消息 通常 只 是 普通 文本 邮件 消息 的 一 部 分 。 如 果 采 用 基于 公 钥 密码 技术 的 
PEM ,邮件 消息 中 的 PEM 部 分 的 大 致 结构 如 表 9-1 所 示 。 

消息 中 包含 多 少 张 证 书 是 可 选 的 。 证 书 也 可 以 不 显 式 地 出 现 , 这 种 情况 下 ,证书 域 包含 
发 送 者 证 书 的 序列 号 和 发 行者 名 称 。 

一 个 基于 公 钥 密码 技术 的 ENCRYPTED 消息 格式 如 表 9-2 所 示 。 
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表 9-1 
标记 : 指示 消息 中 由 PEM 处 理 过 的 部 分 


PEM 消息 结构 


报 文 头 : 指示 所 使 用 的 模式 (MIC-CLEAR. MIC-ONLY. ENCRYPTED) 


DES-CBC 初始 向 量 : 初始 向 量 IV, 只 在 加 密 的 消息 中 出 现 


发 送 方 证 书 : 由 发 送 方 的 CA 签发 的 证 书 


发 送 方 的 CA 的 证 书 : 为 发 送 方 签发 证 书 的 CA 的 证 书 


IPRA 签发 的 证 书 


MIC: 如 果 消 息 加 密 , 则 MIC 也 是 加 密 的 


DEK: 用 接收 方 的 公 钥 加 密 


空 行 


消息 : 或 者 是 ENCRYPTED 的 ,或 者 是 MIC-ONLY 的 ,或 者 是 MIC-CLEAR 


标记 : 指示 消息 中 由 PEM 处 理 过 的 部 分 结束 


es END PRIVACY-ENHANCED MESSAGE----- 


表 9-2 基于 公 钥 密码 技术 的 ENCRYPTED 消息 格式 


PEM 开始 标记 


Proc-Type: 4, ENCRYPTED 


PEM 版 本 号 : 4, 消 息 类 型 ENCRYPTED 


Content-Domain: RFC 822 


消息 的 形式 : RFC 822 定义 的 文本 消息 


DEK-Info: DES-CBC, 1l6hex digits 


消息 加 密 算法 : DES-CBC ,十 六 进 制 TV 


Originator-certificate: cybercrud, number 


经 过 编码 的 发 送 者 证 书 ( 可 选 ? 


Originator-ID Asymmetric: cybercrud, number 


发 送 者 ID( 如 果 没 有 证 书 ), 包 含 签发 证 书 的 CA 
的 X. 500 名 称 和 证 书 序列 号 


Key-Info: RSA .cybercrud 


抄 送 给 发 送 者 的 密 钥 信息 。 在 发 送 者 抄 送 消息 给 
自己 时 才 会 出 现 ,以 使 得 发 送 者 可 以 解密 消息 。 
第 一 个 子 域 指 明 加 密 DEK 的 算法 为 RSA, 第 二 
个 子 域 是 经 过 编码 的 ,发送 者 公 钥 加 密 的 DEK 


Issuer-Certificate: cybercrud 


一 个 或 多 个 CA 证 书 


MIC-Info: RSA-MDX. RSA, cybercrud 


MIC 算法 ,MIC 加 密 算法 ,MIC 


Recipient-ID-Asymmetric: cybercrud, number 
Key-Info: RSA. cybercrud 


针对 每 一 个 接收 者 ,指明 接收 者 证 书 识别 符 ,包含 
签发 该 证 书 的 CA 名 称 和 证 书 序列 号 ,使 得 拥有 
多 个 公 钥 的 接收 者 知道 应 该 用 哪个 公 钥 去 解密 
Key info 域 。Key info 域 则 提供 了 DEK, 第 一 个 
子 域 指明 加 密 DEK 的 算法 为 RSA, 第 二 个 子 域 
是 编码 的 .用 接收 者 公 钥 加 密 的 DEK 


空 行 


Message: cybercrud 


经 过 编码 的 .用 DEK、 以 DES-CBC 模式 加 密 并 编 
码 的 消息 


一 END PRIVACY-ENHANCED MESSAGE----- 


PEM 结束 标记 


MIC-ONLY 和 MIC-CLEAR 消息 格式 与 此 相 类 似 , 不 再 鳌 述 。 
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2.3 PGP 


PGP(Pretty Good Privacy) 是 Phillip Zimmerman 在 1991 年 提出 来 的 , 它 可 以 在 电子 
邮件 和 文件 存储 应 用 中 提供 保密 和 认证 服务 ,已 经 成 为 全 球 范围 内 流行 的 安全 邮件 系统 
之 一 。 

PGP 综合 使 用 了 对 称 加 密 算法 、 非 对 称 加 密 算法 、 单 向 散 列 算法 以 及 随机 数 产 生 器 。 
PGP 通过 运用 诸如 3DES、IDEA、CAST-128 等 对 称 加 密 算法 对 邮件 消息 或 存储 在 本 地 的 
数据 文件 进行 加 密 来 保证 机 密 性 .通过 使 用 散 列 函数 和 公 钥 签名 算法 提供 数字 签名 服务 ,以 
提供 邮件 消息 和 数据 文件 的 完整 性 和 不 可 和 否认。 通信 双方 的 公 钥 发 布 在 公开 的 地 方 , 而 公 
钥 本 身 的 权威 性 则 可 由 第 三 方 ( 特 别 是 接收 方 信任 的 第 三 方 ) 进 行 签名 认证 。 

PGP 的 迅速 普及 ,原因 可 大 致 归纳 如 下 几 点 : 

(1) PGP 由 完全 自愿 者 开发 团体 在 Phillip Zimmerman 的 指导 下 开发 后 继 版 本 。PGP 
提供 各 种 免费 的 版 本 ,可 运行 于 各 种 平台 ,包括 Windows、UNIX、Macintosh 等 。 

(2) PGP 使 用 经 过 充分 的 公众 检验 , 且 被 认为 是 非常 安全 的 算法 ,包括 RSA、DSS、 
Diffie-Hellman 等 公 钥 加 密 算法 ,CAST-128、IDEA 和 3DES 等 对 称 加 密 算 法 ,以 及 散 列 算 
法 SHA-1。 

(3) PGP 应 用 范围 较为 广泛 , 既 可 作为 公司 .团体 中 加 密 文件 时 所 选择 的 标准 模式 ,也 
可 以 对 Internet 或 其 他 网 络 上 个 人 间 的 消息 通信 加 密 。 

(4) PGP 不 受 任何 政府 或 标准 制定 机 构 控制 。 


9.3.1 PGP 操作 


PGP 的 实际 操作 与 密 钥 管理 紧密 相关 ,提供 了 5 种 服务 : 认证 \ 保 密 、 奈 缩 、 电 子 邮 件 兼 
容 性 和 分 段 , 参 见 表 9-3。 


表 9-3 PGP 服务 


功能 使 用 的 算法 描 述 
利用 SHA-1 算法 计算 消息 的 散 列 值 ,并 将 此 消息 
数字 签名 DSS/SHA 或 RSA/SHA 摘要 用 发 送 方 的 私 钥 按 DSS 或 RSA 加 密 , 和 消息 
串 接 在 一 起 发 送 


发 送 方 生成 一 个 随机 数 作为 一 次 性 会 话 密 钥 ， 
此 会 话 密 钥 将 消息 按 CAST-128 或 IDEA 或 


CAST 或 IDEA 或 使 用 Diffie- 


消息 加 密 3DES 算法 加 密 ; 然后 用 接收 方 公 钥 按 Diffie- 
Hellman 的 3DES 或 RSA Hellman 或 RSA 算法 加 密会 话 密 钥 .并 与 消息 一 
起 加 密 
压缩 ZIP 消息 在 应 用 签名 之 后 、 加 密 之 前 可 用 ZIP 压缩 


为 了 对 电子 邮件 应 用 提供 透明 性 ,一 个 加 密 消 息 
可 以 用 基数 64 转换 为 ASCII 串 

为 了 符合 最 大 消息 尺寸 限制 .PGP 执行 分 段 和 重 
新 组 装 


电子 邮件 兼容 性 基数 64 转换 


分 段 
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1. 认证 
PGP 使 用 散 列 函 数 和 公 钥 签名 算法 提供 了 数字 签名 服务 ,如 图 9-5 所 示 。 


一 源 A 一 宿 B 一 -一 一 


EIPRA. HN] Pu 
PRA 


a 1 世 ze ~(p?] | 
| EP M 人 


Lr 
图 9-5 PGP 认证 服务 


图 中 : PRA 为 用 户 A 的 私 钥 , 用 于 公 钥 加 密 体 制 中 ; PUA 为 用 户 A 的 公 钥 ,用 于 公 钥 
加 密 体 制 中 ; EP 为 公 钥 加 密 ; DP 为 公 钥 解密 ; EC 为 对 称 加 密 ; DC 为 对 称 解密 ; H 为 散 
列 函 数 ，|| 为 串 接 ; Z 为 用 ZIP 算法 压缩 ， Z- :为 解压 缩 。 

图 9-5 所 示 签 名 过 程 如 下 : 

Q@ 发 送 方 创建 消息 。 

@ 发 送 方 使 用 SHA-1 计算 消息 的 160 位 散 列 码 。 

@ 发 送 方 使 用 自己 的 私 钥 ,采用 RSA 算法 对 散 列 码 加 密 , 得 到 数字 签名 ,并 将 签名 结 
果 串 接 在 消息 前 面 。 

@ 接收 方 使 用 发 送 方 的 公 钥 按 RSA 算法 解密 ,恢复 散 列 码 。 

@ 接收 方 使 用 SHA-1 计算 新 的 散 列 码 ,并 与 解密 得 到 的 散 列 码 比 较 。 如 果 匹 配 , 则 证 
明 接 收 到 的 消息 是 完整 的 ,并 且 来 自 于 真实 的 发 送 方 。 

SHA-1 和 RSA 的 组 合 提供 了 一 种 有 效 的 数字 签名 模式 。 由 于 RSA 的 安全 强度 , 接 
收 方 可 以 确信 只 有 相应 私 钥 的 拥有 者 才能 生成 签名 ; 由 于 SHA-1 的 安全 强度 ,接收 方 可 
以 确信 其 他 方 都 不 可 能 生成 一 个 与 该 散 列 编码 相 匹 配 的 消息 ,从 而 确保 是 原始 消息 的 
签名 。 

作为 一 种 替代 方案 ,可 以 基于 DSS/SHA-1 生成 数字 签名 。 

2. 保密 

PGP 通过 运用 诸如 3DES .IDEA、CAST-128 等 对 称 加 密 算 法 ,使 用 64 位 密码 反馈 模 
式 (CFB) 对 待 发 送 的 邮件 消息 或 存储 在 本 地 的 数据 文件 进行 加 密 来 保证 机 密 性 服务 。 由 于 
电子 邮件 具有 “存储 转发 ”的 属性 ,使 用 安全 握手 协议 来 协商 双方 拥有 相同 的 会 话 密 钥 是 不 
实际 的 。 因 此 ,PGP 中 的 会 话 密 钥 是 一 次 性 密 钥 .只 使 用 一 次 , 即 对 每 一 个 消息 都 要 生成 一 
个 128 位 的 随机 数 作为 新 的 会 话 密 钥 。 由 于 会 话 密 钥 仅仅 使 用 一 次 ,发 送 方 必须 将 此 会 话 
密 钥 与 消息 绑 定 在 一 起 . 随 消息 一 块 传送 。 为 了 保护 此 会 话 密 钥 ,发 送 方 使 用 接收 方 的 公 钥 
对 其 加 密 。 实 现 保密 性 的 过 程 如 图 9-6 所 示 。 

(1) 发 送 方 创建 消息 ,并 生成 一 个 128 位 随机 数 作 为 会 话 密 钥 。 

(2) 发 送 方 对 消息 进行 压缩 ,然后 用 会 话 密 钥 按 CAST-128( 或 IDEA、3DES) 加 密 压 缩 
后 的 消息 。 

(3) 发 送 方 用 接收 方 的 公 钥 按 RSA 加 密会 话 密 钥 ,并 和 消息 密 文 串 接 在 一 起 。 
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9-6 ”PGP 保密 服务 


(4) 接收 方 使 用 其 私 钥 按 RSA 解密 ,恢复 出 会 话 密 钥 。 

(5) 接收 方 使 用 会 话 密 钥 解密 消息 。 如 果 消 息 被 压缩 , 则 执行 解压 缩 。 

PGP 也 可 以 使 用 ElGamal 代替 RSA 进行 密 钥 加 密 。 

为 了 减少 加 密 时 间 ,PGP 通常 使 用 对 称 加 密 和 公 钥 加 密 的 组 合 方式 ,而 不 是 直接 使 用 
RSA 或 EIGamal 加 密 消息 。CAST-128 和 其 他 传统 算法 比 RSA 或 ElGamal 算法 快 得 多 。 
在 PGP 中 ,使 用 公 钥 算法 的 目的 是 解决 一 次 性 会 话 密 钥 的 分 配 问 题 ,因为 只 有 接收 方 能 恢 
复 绑 定 在 消息 中 的 会 话 密 钥 。 使 用 一 次 性 的 对 称 密 钥 加 强 了 已 经 是 强加 密 算法 的 安全 性 。 
每 个 密 钥 仅 仅 只 加 密 少 量 原文 ,并 且 密 钥 之 间 没 有 联系 。 在 这 种 程度 下 , 公 钥 算法 是 安全 
的 ,从 而 整个 模式 是 安全 的 。 

3. 保密 和 认证 

PGP 中 ,可 以 将 保密 和 认证 两 种 服务 同时 应 用 于 一 个 消息 ,如 图 9-7 所 示 。 


源 A We = 宿 B 一 
PUB E[PUs, K:] 
1 


六 三 一 | EP ! PR E[PRA, HOD] 


PRA | | ) 

{HH ~ [DP 
Ms | -[z] 0 CD uy M 1 
ee i 


9-7 PGP 保密 和 认证 


操作 过 程 如 下 : 

@ 发 送 方 创建 消息 ,生成 原始 消息 的 签名 ,并 与 消息 串 接 。 

@ 发 送 方 用 会 话 密 钥 .基于 CAST-128( 或 IDEA.3DES) 加 密 压缩 后 的 、 带 签名 的 明文 
消息 ,并 用 RSA (或 EIGamal) 加 密会 话 密 钥 。 两 次 加 密 的 结果 被 串 接 在 一 起 ,发 送 给 接 
收 方 。 

@ 接收 方 使 用 自己 的 私 钥 、 按 照 RSA( 或 ElIGamal) 解 密会 话 密 钥 ,并 使 用 会 话 密 钥 解 
密 ,恢复 压缩 的 带 签名 的 明文 消息 。 

@ 接收 方 执行 解压 缩 .得 到 签名 和 原始 消息 。 

@) 接收 方 解 密 签名 ,并 计算 消息 的 散 列 值 ,通过 比较 两 个 结果 ,实现 了 认证 。 

简单 地 说 , 当 需 要 同时 提供 保密 和 认证 时 .发 送 方 首先 用 自己 的 私 钥 对 消息 签名 ,然后 
用 会 话 密 钥 加 密 消 息 和 签名 .再 用 接收 方 的 公 钥 加 密会 话 密 钥 。 
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4. 压缩 

作为 一 种 默认 处 理 ,PGP 在 应 用 签名 之 后 、 加 密 之 前 要 对 消息 进行 压缩 ,使 用 的 压缩 算法 
是 ZIP。 使 用 压缩 使 得 发 送 的 消息 比 原始 明文 更 短 , 这 就 节省 了 网 络 传输 的 时 间 和 存储 空间 。 

图 9-6 中 ,消息 加 密 在 压缩 后 进行 .这 是 因为 压缩 实际 上 是 一 次 变换 ,而 且 压 缩 后 消息 
的 元 余 信息 比 原始 消息 少 ,使 得 密码 分 析 更 加 困难 。 

图 9-7 的 操作 过 程 中 ,在 压缩 前 生成 签名 ,主要 是 基于 如 下 考虑 : 对 未 压缩 的 消息 签名 
可 以 将 未 压缩 的 消息 和 签名 一 起 存放 ,以 在 将 来 验证 时 直接 使 用 。 而 如 果 对 一 个 压缩 的 文 
档 签名 , 则 将 来 要 么 将 消息 的 压缩 版 本 存放 下 来 用 于 验证 ,要 么 在 需要 验证 时 再 对 消息 进行 
压缩 。 

PGP 使 用 称 之 为 ZIP 的 压缩 包 。ZIP 算法 可 能 是 应 用 最 广泛 的 跨 平 台 压 缩 技术 。 

5. Radix-64 变换 

使 用 PGP 时 ,通常 至 少 有 部 分 加 密 块 将 要 被 加 密 传输 。 如 果 仅 仅 使 用 了 签名 服务 ,就 
必须 用 发 送 方 的 私 钥 对 消息 摘要 进行 加 密 。 如 果 还 使 用 了 保密 服务 ,就 需要 将 消息 和 签名 
(如 果 有 ) 用 一 次 性 的 会 话 密 钥 、 按 对 称 密码 算法 进行 加 密 , 因 此 ,得 到 的 部 分 或 全 部 数据 块 
由 任意 的 8 比特 流 组 成 。 然 而 ,许多 电子 邮件 系统 仅仅 允许 使 用 由 ASCII 文本 组 成 的 数据 
块 通过 。 为 了 适应 这 个 限制 ,PGP 提供 了 将 原始 8 位 二 进 制 流转 换 为 可 打印 的 ASCII 码 字 
符 的 服务 。 为 此 目的 服务 的 模式 称 为 基数 64 转换 (Radix-64 转换 ) 或 者 ASCII 封装 。 原 始 
二 进 制 数据 的 3 个 8 位 二 进 制 字 节 组 成 一 组 ,并 被 映射 为 4 个 ASCII 码 字 符 , 同 时 加 上 
CRC 校 验 以 检测 传送 错误 。 

编码 过 程 将 3 个 8 位 输入 组 看 作 4 个 6 位 组 ,每 一 组 变换 成 Radix-64 字母 表 中 的 一 个 
字符 。6 位 组 到 字符 映射 如 表 9-4 所 示 。 


表 9-4 Radix-64 编码 


6 位 值 字符 编码 6 位 值 字符 编码 6 位 值 字符 编码 6 位 值 字符 编码 
0 A 16 Q 32 区 48 Ww 
1 B 17 R 33 h 49 区 
2 C 18 S 34 i 50 y 
3 D 19 下 35 j 51 Zz 
4 E 20 U 36 k 52 0 
5 F 21 V 37 1 53 1 
6 G 22 WwW 38 m 54 2 
7 H 23 X 39 n 55 3 
8 I 24 至 40 0o 56 4 
9 J 25 Z 41 p 57 5 
10 K 26 a 42 q 58 6 
11 下 27 b 43 r 59 x 
12 M 28 : 44 S 60 8 
13 N 29 d 45 t 61 E34 
14 O 30 千 46 u 62 党 
15 村 31 47 V 63 / 

Pad = 
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一 个 基数 64 转换 算法 盲目 地 将 输入 串 转化 为 基数 64 格式 而 与 上 下 文 无 关 , 即 使 在 输 
和 是 ASCII 文本 时 也 是 如 此 。 因 此 ,如 果 一 个 消息 被 签名 但 未 加 密 , 且 转换 作用 于 整个 块 ， 
则 输出 对 窃听 者 不 可 读 , 从 而 提供 了 一 定 程度 的 保密 性 。PGP 也 可 以 选择 只 对 消息 的 签名 
部 分 进行 基数 64 转换 ,使 得 接收 方 可 以 不 使 用 PGP 直接 阅读 消息 。PGP 也 可 用 于 验证 
签名 。 

图 9-8 描述 了 PGP 的 消息 发 送 和 接收 过 程 。 在 发 送 端 , 如 果 需 要 签名 ,可 用 明文 的 散 
列 码 生成 签名 ,再 将 签名 和 明文 一 起 压缩 。 接 着 ,如 果 需 要 保密 ,可 对 由 压缩 的 明文 或 压缩 
的 签名 加 原文 构成 的 块 加 密 ,与 用 公 钥 加 密 的 会 话 密 钥 一 起 转换 为 基数 64 格式 。 


So 从 基数 64 转 换 
六 文件 X—R64-![X] 


生成 签名 
式 一 签名 | 区 


解密 密 钥 X 
K 一 D(PRe.E(PUB.KJ) 
XD(Ks,E(KY)) 


需要 签名 吗 ? 


| 从 X 中 抽出 签名 
验证 签名 
! 一 
转换 为 基数 64 1 
XR64[X] 
(a) 一 般 发 送 处 理 (发 送 方 为 A) (b) 一 般 接 收 处 理 (接收 方 为 B) 


图 9-8 PGP 消息 发 送 与 接收 


在 接收 端 ,将 收 到 的 块 首先 从 基数 64 转换 为 二 进 制 , 然 后 如 果 消 息 加 密 过 , 则 接收 方 恢 
复 会 话 密 钥 , 解 密 消息 ,再 将 得 到 的 块 解压 。 如 果 消 息 被 签名 . 则 接收 方 恢 复 传送 过 来 的 散 
列 码 ,并 与 原 散 列 码 比较 。 

6. 分 段 和 组 装 

电子 邮件 工具 通常 限制 消息 的 最 大 长 度 . 任 何 大 于 该 长 度 的 消息 必须 分 成 若干 小 段 , 单 
独 发 送 。 

为 了 适应 这 个 限制 .PGP 自动 将 长 消息 分 段 使 之 可 以 通过 电子 邮件 发 送 。 分 段 在 所 有 
其 他 操作 之 后 进行 ,包括 基数 64 转换 。 因 此 .会 话 密 钥 和 签名 部 分 仅 在 第 一 段 的 段 首 出 现 。 
在 接收 方 ,PGP 必须 剥 掉 所 有 的 电子 邮件 头 , 并 组 装 得 到 原始 邮件 。 


9.3.2 PGP 密 钥 


PGP 使 用 四 种 类 型 的 密 钥 : 一 次 性 会 话 对 称 密 钥 、 公 钥 、 私 钥 、 基 于 对 称 密 钥 的 口令 。 
这 些 密 钥 需要 满足 三 种 需求 : 
(1) 一 次 性 会 话 密 钥 是 不 可 预测 的 。 
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(2) 允许 用 户 拥有 多 个 公 钥 / 私 钥 对 。 因 为 用 户 可 能 希望 能 经 常 更 换 他 的 密 钥 对 。 而 
当 更 换 时 ,许多 流水 线 中 的 消息 往往 仍 使 用 已 过 时 的 密 钥 。 另 外 ,接收 方 在 更 新 到 达 之 前 只 
知道 旧 的 公 钥 ,为 了 能 改变 密 钥 ,用 户 希 望 在 某 一 时 刻 拥 有 多 对 密 钥 与 不 同 的 人 进行 应 答 或 
限制 用 一 个 密 钥 加 密 消 息 的 数量 以 增强 安全 性 。 所 有 这 些 情况 导致 了 用 户 与 公 钥 之 间 的 应 
答 关系 不 是 一 对 一 的 .因此 ,需要 能 鉴别 不 同 的 密 钥 。 

(3) 每 个 PGP 实体 必须 管理 一 个 自己 的 公 钥 / 私 钥 对 的 文件 和 一 个 其 他 用 户 公 钥 的 文件 。 

1. 会 话 密 钥 的 产生 

PGP 对 每 一 个 消息 都 生成 一 个 会 话 密 钥 ,与 此 消息 对 应 ,用 以 加 密 和 解密 该 消息 。 
PGP 的 会 话 密 钥 是 个 随机 数 , 它 是 基于 ANSIX. 917 的 算法 由 随机 数 生 成 器 产生 的 。 随 机 
数 生成 器 从 用 户 斋 键盘 的 时 间 间 隔 上 取得 随机 数 种 子 。 对 于 磁盘 上 的 随机 种 子 randseed. bin 
文件 是 采用 和 邮件 同样 强度 的 加 密 。 这 有 效 地 防止 了 他 人 从 randseed. bin 文件 中 分 析出 实 
际 加 密 密 钥 的 规律 。 

2. 密 钥 标识 

PGP 允许 用 户 拥 有 多 个 公开 /私有 和 密 钥 对 。 用 户 可 能 经 常 改变 密 钥 对 ; 而 且 同 一 时 刻 ， 
多 个 密 钥 对 在 不 同 的 通信 组 中 使 用 。 因 此 ,用 户 和 他 们 的 密 钥 对 之 间 不 存在 一 一 对 应 关系 。 
比如 A 给 B 发 信 , 如 果 没 有 密 钥 标识 方法 ,B 可 能 就 不 知道 A 使 用 自己 的 哪个 公 钥 加 密 的 
会 话 密 钥 。 

一 个 简单 的 解决 方案 是 将 公 钥 和 消息 一 起 传送 。 这 种 方式 可 以 工作 ,但 却 浪费 了 不 必 
要 的 空间 ,因为 一 个 RSA 的 公 钥 可 以 长 达 几 百 个 十 进 制 数 。 另 一 种 解决 方案 是 每 个 用 户 的 
不 同 公 钥 与 唯一 的 标识 一 一 对 应 , 即 用 户 标识 和 密 钥 标识 组 合 来 唯一 标识 一 个 密 钥 。 这 时 ， 
只 需 传送 较 短 的 密 钥 标识 即 可 。 但 这 个 方案 产生 了 管理 和 开销 问题 ; 密 钥 标识 必须 确定 并 
存储 ,使 发 送 方 和 接收 方 能 获得 密 钥 标识 和 公 钥 间 的 映射 关系 。 

因此 ,PGP 给 每 个 用 户 公 钥 指定 一 个 密 钥 ID, 在 很 大 程度 上 与 用 户 标识 一 一 对 应 。 它 
由 公 钥 的 最 低 64 位 组 成 ,这 个 长 度 足 以 使 密 钥 ID 的 重复 概率 变 得 非常 小 。 

PGP 的 数字 签名 也 需要 使 用 密 钥 标识 。 因 为 发 送 方 需要 使 用 一 个 私 钥 加 密 消 息 摘要 ， 
接收 方 必须 知道 应 使 用 发 送 方 的 哪个 公 钥 解密 。 相 应 地 ,消息 的 数字 签名 部 分 必须 包括 公 
钥 对 应 的 64 位 密 钥 标识 。 当 接收 到 消息 后 ,接收 方 用 密 钥 标识 指示 的 公 钥 验证 签名 。 

如 图 9-9 所 示 ,PGP 消息 由 3 个 部 分 组 成 : 消息 部 分 .签名 (可 选 ) 和 会 话 密 钥 ( 可 选 ) 。 

消息 部 分 包括 将 要 存储 或 传输 的 数据 如 文件 名 消息 产生 的 时 间 惟 等 。 

签名 部 分 包括 如 下 内 容 : 

(1) 时 间 戳 。 签 名 产生 的 时 间 戳 。 

(2) 消息 摘要 。160 位 的 SHA-1 摘要 ,用 发 送 方 的 私 钥 加 密 摘 要 。 摘 要 是 计算 签名 时 
间 惟 和 消息 的 数据 部 分 得 到 的 。 摘 要 中 包含 的 时 间 戳 可 以 防止 重播 攻击 。 不 包括 消息 部 分 
的 文件 名 和 时 间 戳 保证 了 分 离 后 的 签名 与 分 离 前 的 签名 一 致 。 基 于 单独 的 文件 计算 分 离 的 
签名 ,不 包含 消息 头 。 

(3) 消息 摘要 的 头 两 个 字 节 。 为 使 接收 方 能 够 判断 是 否 使 用 了 正确 的 公 钥 解密 消息 摘 
要 ,可 以 通过 比较 原文 中 的 头 两 个 字 节 和 人 解密 后 摘要 中 的 头 两 个 字 节 。 这 两 个 字 节 作为 消 
息 的 16 位 校 验 序列 。 
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两 枯 操作 

4 接收 者 的 公 钥 
| Ru | 

| 会 话 密 钼 (K) | E(PUs, ) 

| 1 + 

时 间 截 

签名 

1 

人 R64 

E(KAs、 ) 
报 文 
数据 
| 1 1 1 


图 9-9 PGP 消息 格式 


图 中 ,EC(PUs,。) 表 示 用 用 户 B 的 公 钥 加 密 .E(PUA,。) 表 示 用 用 户 A 的 公 钥 加 密 ， 
E(CK.,。) 表 示 用 会 话 密 钥 加 密 ,ZIP 表示 Zip 压缩 函数 ,R64 表示 基数 64 的 转换 函数 。 

(4) 发 送 方 公 钥 的 密 钥 标识 。 标 识 解 密 所 应 使 用 的 公 钥 ,从 而 标识 加 密 消 息 摘要 的 
私 钥 。 消 息 和 可 选 的 签名 可 以 使 用 ZIP 压缩 后 再 用 会 话 密 钥 加 密 。 会 话 密 钥 包 括 会 话 密 
钥 和 标识 发 送 方 加 密会 话 密 钥 时 所 使 用 的 接收 方 公 钥 标 识 。 整 个 块 使 用 基数 64 转换 
编码 。 

3. 密 钥 环 

密 钥 标识 对 PGP 操作 是 关键 的 ,任何 PGP 消息 中 包含 的 两 个 密 钥 标识 可 以 提供 保密 
性 和 认证 功能 。 这 些 密 钥 必须 采用 有 效 的 、 系 统 的 方式 存储 、 组 织 以 供 各 方 使 用 。PGP 为 
每 个 结 点 提供 一 对 数据 结构 ,一 个 用 于 存放 本 结 点 自身 的 公 钥 / 私 钥 对 , 另 一 个 用 于 存放 本 
结 点 知道 的 其 他 用 户 的 公 钥 。 这 两 种 数据 结构 被 称 为 私 钥 环 和 公 钥 环 。 

图 9-10 列 出 了 公 钥 环 和 私 钥 环 的 一 般 结构 。 可 以 认为 , 环 是 一 个 表 结 构 , 其 中 每 一 行 
表示 用 户 拥 有 的 一 对 公 / 私 密 钥 。 私 钥 环 表 中 .每 一 行 包 含 如 下 表 项 : 

。 时 间 戳 : 密 钥 对 生成 的 日 期 /时 间 。 

。 密 钥 标识 : 至 少 64 位 的 公 钥 标识 。 

。 公 钥 : 密 钥 对 的 公 钥 部 分 。 

。 私 钥 : 密 钥 对 的 私 钥 部 分 ,此 域 被 加 密 。 

。 用 户 标 识 : 一 般 使 用 用 户 的 电子 邮件 地 址 。 但 用 户 可 以 为 不 同 密 钥 对 选择 不 同 的 

用 户 标 识 . 也 可 以 多 次 重复 使 用 同一 个 用 户 标识 。 
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私 钥 环 
时 间 截 密 钥 标识 * 公 铀 加 密 的 私 钥 | 用 户 标 识 * 
Ti PU: mod 2% PU: ECHCP) ,PRi) 用 户 i 
公 钥 环 


时 间 截 | 密 钥 标 识 * | 人 公 钥 信任 度 | 用 户 标识 * | 合法 密 钥 签名 | 签名 信任 度 


T, PU; mod 2% |PU, | trust_flag， 用 户 i trust_flagi 


图 9-10 ” 公 钥 环 和 私 钥 环 的 结构 


私 钥 环 可 用 用 户 标 识 或 密 钥 标识 索引 。 

虽然 私 钥 环 只 在 用 户 创建 和 拥有 密 钥 对 的 机 器 上 存储 并 只 能 被 该 用 户 存 取 ,但 私 钥 的 
存储 应 尽 可 能 地 安全 。 因 此 , 私 钥 并 不 直接 存储 在 密 钥 环 中 ,而 是 用 CAST-128( 或 IDEA， 
3DES) 加 密 后 存储 。 处 理 过 程 如 下 : 

@ 用 户 选 择 加 密 私 钥 的 口令 。 

@ 当 系 统 使 用 RSA 生成 新 的 公 钥 / 私 钥 对 后 ,向 用 户 询问 口令 。 应 用 SHA-1 为 口令 
生成 160 位 的 散 列 编码 ,并 废弃 口令 。 

@ 系统 用 CAST-128 和 作为 密 钥 的 128 位 散 列 编码 加 密 私 钥 . 并 废弃 该 散 列 编码 ,将 
加 密 后 的 私 钥 存 于 私 钥 环 。 

接着 , 当 用 户 从 私 钥 环 中 重新 取得 私 钥 时 .必须 提供 口令 。PGP 将 生成 口令 的 散 列 编 
码 ,并 用 CAST-128 和 散 列 编 码 一 起 解密 私 钥 。 

公 钥 环 用 来 存储 该 用 户 知道 的 其 他 用 户 的 公 钥 。 公 和 钥 环 表 中 每 一 行 主 要 包含 以 下 
信息 : 
。 时 间 戳 : 该 表 项 生成 的 日 期 /时 间 。 

。 密 钥 标识 : 至 少 64 位 的 公 钥 标识 。 

。 公 钥 : 表 项 的 公 钥 部 分 。 

。 用 户 标 识 : 公 钥 的 拥有 者 。 多 个 用 户 标识 可 与 一 个 公 钥 相关 。 

图 9-11 描述 了 消息 传递 中 密 钥 环 的 使 用 方式 。 假 设 应 对 消息 进行 签名 和 加 密 , 则 发 送 
的 PGP 实体 执行 下 列 步骤 : 

〇 签名 消息 。 

。 PGP 以 用 户 标识 作为 索引 从 发 送 方 的 私 钥 环 中 取出 选 定 的 私 钥 ,如 果 在 命令 中 不 提 

供用 户 标识 , 则 取出 私 钥 环 中 的 第 一 个 私 钥 。 

。 PGP 提示 用 户 输入 口令 恢复 私 钥 。 
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公 钥 环 
口令 H 2 
~ 选择 
B 
私 钥 环 密 钥 ID 
ID、 选择 | 
加 密 的 私 钥 加 
密 钥 ID 私 钥 
| RNG PUB 
消息 摘要 会 语 密 铀 
| 
消息 上 ~ 人 La 和 三 一 门 和 于 输出 
， 中 | 一 
Mt | 
加 密 后 
代入 息 ” 
图 9-11 PGP 消息 生成 


。 创建 消息 的 签名 。 

@ 加 密 消息 。 

。 PGP 生成 会 话 密 钥 并 加 密 消息 。 

。 PGP 用 接收 方 的 用 户 标 识 作为 索引 从 公 钥 环 中 获得 接收 方 的 公 钥 。 

。 创建 消 息 的 会 话 密 钥 。 

接收 方 PGP 实体 执行 的 步骤 参见 图 9-12 ,主要 包括 以 下 几 个 步骤 : 

QO@ 解密 消息 。 

。 PGP 用 消息 的 会 话 密 钥 的 密 钥 标识 域 作 为 索引 从 私 钥 环 中 获取 接收 方 的 私 钥 。 
。 PGP 提示 用 户 输入 口令 以 恢复 私 钥 。 

。 PGP 恢复 会 话 密 钥 ,解密 消息 。 

@ 认证 消息 。 

。 PGP 用 消息 的 签名 密 钥 中 包含 的 密 钥 标识 从 公 钥 环 中 获取 发 送 方 的 公 钥 。 


口令 一 | H 
私 钥 环 公 钥 环 
选择 [一 TD 选择 | 
加 密 的 私 铀 [TJC 
私 钥 
大 公 钥 PUA 
监 高密 一 | DP 
加 密会 话 发 送 者 | 
密 钥 会 话 密 钥 密 钥 ID 
入 加 密 DP 
疡 : 消 声 时 
es Dc 比较 


9-12 ”PGP 消息 接收 
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。 PGP 恢复 消息 摘要 。 
。 PGP 计算 接收 到 的 消息 摘要 ,并 将 其 与 恢复 的 消息 摘要 进行 比较 来 认证 。 


9.3.3 公 钥 管理 


为 了 提供 保密 和 认证 功能 ,PGP 使 用 了 公 钥 密码 算法 。 在 实际 的 公 钥 应 用 中 ,防止 公 
钥 的 自 改 是 最 困难 的 问题 之 一 ,有 许多 公 钥 密码 机 制 和 软件 的 复杂 性 都 是 为 了 解决 这 一 问 
题 而 引入 的 。 

PGP 提供 了 公 钥 管理 的 方法 ,并 有 各 种 可 选 方案 。 但 PGP 没有 S/MIME 的 严格 公 钥 
管理 模式 ,因为 PGP 可 能 用 于 许多 非 正式 的 场合 。 

1. 公 钥 管理 的 方法 

公 钥 管理 的 实质 是 : 用 户 A 为 了 与 其 他 用 户 用 PGP 互 操作 ,必须 建立 一 个 拥有 其 他 用 
户 公 钥 的 公 钥 环 。 假 设 A 的 公 钥 环 中 包含 一 个 属于 B 的 公 钥 ,但 该 公 钥 实际 上 是 C 的 公 
钥 。 这 样 ,就 存在 如 下 两 种 威胁 : 其 一 ,C 向 A 发 送 消息 且 伪 造 B 的 签名 ,这 样 A 就 会 以 为 
该 消息 来 源 于 B。 其 二 ,任何 A 发 往 B 的 加 密 消 息 C 均 可 以 阅读 。 

有 许多 方法 可 以 减少 用 户 公 钥 环 中 包含 错误 公 钥 的 可 能 性 。 假 设 A 想 获 得 B 的 可 靠 
的 公 钥 ,可 使 用 如 下 方法 : 

(1) 物理 上 从 B 获得 密 钥 。B 可 以 将 自己 的 公 钥 (PUs) 存 放 于 一 张 软盘 上 ,并 将 其 交 
给 A,A 再 从 软盘 上 将 该 密 钥 复制 到 系统 中 ,这 种 方法 虽然 非常 安全 ,但 也 有 明显 的 局 限 性 。 

(2) 利用 电话 验证 密 钥 。 如 果 A 可 以 通过 电话 与 也 联系 ,A 可 以 直接 通过 电话 向 B 询 
问 基 数 64 格式 的 密 钥 。 或 者 ,B 可 以 通过 电子 邮件 传递 密 钥 给 A,A 再 用 PGP 为 该 密 钥 用 
SHA-1 生成 160 位 的 摘要 ,并 用 十 六 进 制 表 示 作 为 密 钥 的 指纹 。 于 是 A 通过 电话 向 B 询问 
密 钥 的 指纹 ,如 果 相 符 , 则 密 钥 得 到 了 校 验 。 

(3) 从 共同 信任 的 个 体 D 处 获得 B 的 公 钥 。 引 进 D 创建 签名 证 书 。 证 书包 括 B 的 公 
钥 、 密 钥 的 创建 时 间 ,并 用 D 的 私 钥 加 密 , 将 签名 放 和 证书。 由 于 只 有 D 可 以 创建 签名 ,其 
他 人 不 可 能 伪造 公 钥 并 假装 D 签名 ,因此 :签名 证 书 可 由 也 或 D 直接 送 往 A ,或 发 布 在 公告 
牌 上 。 

(4) 从 信任 的 认证 机 构 中 获取 B 的 公 钥 。 同 样 创 建 公 钥 证 书 , 并 由 认证 机 构 签名 ,A 可 
以 向 认证 机 构 提 供用 户 名 并 接收 签名 证 书 。 

对 第 3 种 和 第 4 种 方案 ,A 必须 已 经 拥有 了 第 三 方 的 公 钥 并 相信 密 钥 的 合法 性 ,从 根本 
上 说 ,取决 于 A 对 第 三 方 的 信任 程度 。 

2. 信任 关系 

虽然 PGP 不 包括 建立 认证 机 构 或 建立 信任 机 制 , 但 它 提供 了 使 用 信任 的 便利 手段 , 利 
用 信任 信息 将 公 钥 与 信任 相 联 系 。 

基本 结构 : 公 钥 环 中 的 每 一 个 表 项 是 一 个 公 钥 证 书 , 如 上 所 述 , 与 各 证 书 相关 的 密 钥 合 
法 性 域 使 得 PGP 相信 该 用 户 的 公 钥 是 正确 的 。 信 任 级 别 越 高 ,用户 标识 与 密 钥 间 的 绑 定 关 
系 越 强 , 此 域 的 值 由 PGP 计算。 每 个 签名 有 一 个 签名 信任 域 , 该 域 表示 PGP 用 户 信任 该 签 
名 的 程度 。 与 每 个 实体 相关 的 是 密 钥 环 拥有 者 可 以 收集 零 个 或 多 个 签发 证 书 的 签名 。 密 钥 
合法 性 域 来 源 于 该 表 项 中 的 签名 信任 域 。 最 后 .每 个 表 项 定义 一 个 与 特定 所 有 者 相关 的 公 
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钥 , 所 有 者 信任 域 包含 对 本 公 钥 签名 的 其 他 公 钥 证 书 的 信任 程度 ,此 信任 级 别 由 用 户 设 定 。 
我 们 可 以 认为 签名 信任 域 是 所 有 者 信任 域 的 一 个 备份 。 
密 钥 合法 性 域 签名 信任 域 和 所 有 者 信任 域 各 包含 一 个 信任 标志 字 节 ,标志 的 内 容 如 


表 9-5 所 示 。 
表 9-5 信任 标志 字 节 的 内 容 
sr 
赋 给 公 钥 所 有 者 的 信任 值 赋 给 公 钥 /用 户 标 识 的 信任 值 人 
(在 密 钥 包 后 由 用 户 定义 ) (在 用 户 标 识 后 由 PGP 计算 ) OWNERTRUST 的 备份 ) 
OWNERTRUST 域 KEYLEGIT 域 SIGTRUST 位 
”未 定义 信任 。 未知 或 未 定义 信任 。 未 定义 信任 
。 未知 用 户 。 密 钥 所 有 者 身份 不 被 信任 。 未 知 用 户 
"通常 不 信任 对 其 他 密 钥 的 | 。 密 钥 所 有 者 身份 一 般 信 任 。 通常 不 信任 对 其 他 密 钥 的 
签名 。 密 钥 所 有 者 身份 绝对 信任 签名 
。 通 常 信 任 对 其 他 密 钥 的 签名 | WARNONLY 位 。 通常 信任 对 其 他 密 钥 的 签名 
”一 直 信任 对 其 他 密 钥 的 签名 。 当 用 户 想 在 使 用 的 加 密 密 钥 | 。 一 直 信 任 对 其 他 密 钥 的 签名 


该 密 钥 出 现在 秘密 密 钥 环 中 
(绝对 信任 ) 

BUCKSTOP 位 

。 若 密 钥 出 现在 秘密 密 钥 环 则 
置 位 


不 完全 合法 时 提出 誉 告 , 则 
置 位 


。 密 钥 出 现在 秘密 密 钥 环 中 
(绝对 信任 ) 

CONTIG 位 

。 如 果 签 名 在 信任 证 书 链 中 被 
证 实则 置 位 


假设 处 理 的 是 用 户 A 的 公 钥 环 , 则 信任 操作 的 处 理 流程 如 下 : 

a@ 当 A 向 公 钥 环 中 插入 一 个 新 的 公 和 钥 时 ,PGP 必须 为 该 公 钥 的 所 有 者 设 定 一 个 信任 
标志 。 如 果 所 有 者 为 A, 则 该 公 钥 必然 也 出 现 于 私 钥 环 中 ,因此 信任 域 中 的 值 自动 设 为 
ultimate trust。 否 则 ,PGP 询问 A 应 为 该 标志 置 何 值 ,A 必须 键入 相应 的 信任 级 别 : 如 对 
该 公 钥 的 所 有 者 unknown untrusted marginally trusted 或 completely trusted。 

@ 当 新 的 公 钥 进入 环 中 ,必须 与 一 个 或 多 个 签名 相 联系 ,多 个 签名 可 逐个 加 入 。 当 搬 
人 一 个 签名 时 ,PGP 将 搜索 公 钥 环 ,看 该 签名 的 作者 是 否 是 已 知 公 钥 的 所 有 者 ,如 果 是 , 则 
该 所 有 者 信任 域 值 为 SIGTRUST; 否则 , 值 为 unknown user。 

@ 根据 表 项 中 签名 信任 域 的 值 计 算 密 钥 合法 性 域 。 如 果 至 少 有 一 个 签名 的 签名 信任 


值 为 ultimate, 则 将 密 钥 合法 性 域 设 置 为 complete。 否 则 ,PGP 计算 加 权 的 信任 值 : A 将 
always trusted 的 签名 权 值 设置 为 1/X, 将 usually trusted 的 签名 权 值 设置 为 17,.X 和 立 
是 用 户 设 置 的 参数 。 当 第 三 方 的 密 钥 /用 户 标 识 组 合 的 权 值 达到 1 时 , 则 认为 该 绑 定 是 值得 
信任 的 ,并 将 密 钥 合法 性 域 设 置 为 complete。 因 此 在 没 ultimate trust 时 ,至少 需要 X 签名 
的 always trusted 或 Y 签名 的 usually trusted 或 其 他 组 合 消息 。 

PGP 周期 性 地 处 理 公 钥 环 来 获得 一 致 性 。 本 质 上 ,这 是 一 个 自 项 向 下 的 过 程 。 对 每 个 
OWNERTRUST 域 .PGP 扫描 整个 环 得 到 该 所 有 者 的 全 部 签名 ,并 根据 OWNERTRUST 
更 新 SIGTRUST 域 。 此 过 程 起 始 于 具有 ultimate trust 值 的 密 钥 。 接 着 计算 与 签名 相关 的 
所 有 KEYLEGIT 域 。 

图 9-13 提供 了 一 个 签名 信任 和 密 钥 合法 性 相关 的 例子 。 图 中 描述 了 一 个 公 钥 环 的 结 
构 ,用 户 从 它们 的 所 有 者 或 作为 密 钥 服务 器 的 第 三 方 获得 了 若干 公 钥 。 
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? 为 未 知 签名 者 
@@-@O 为 Y 被 7 签名 
略为 You 信 任 密 钥 所 有 者 
全 为 You 部 分 信任 密 钥 所 有 者 
为 You 认 为 密 钥 绝对 可 靠 
图 9-13 PGP 信任 模型 举例 


标识 为 You 的 结 点 表示 公 钥 环 中 该 项 所 属 的 用 户 , 该 密 钥 是 合法 的 , 且 其 域 
OWNERTRUST 的 值 为 ultimate trust。 公 钥 环 中 的 其 他 结 点 在 用 户 没 有 斌 值 前 的 域 
OWNERTRUST 的 值 为 undefined。 此 例 中 ,该 用 户 通 常 相信 用 户 D、E、F、L 签名 的 密 钥 ， 
并 部 分 相信 用 户 A、B 签名 的 密 钥 。 

从 图 9-13 也 可 以 看 出 该 用 户 的 信任 级 别 。 树 结构 表示 出 其 他 用 户 签名 的 密 钥 ,如 果 一 
个 对 密 钥 进行 签名 的 用 户 ,其 密 钥 也 在 这 个 密 钥 环 中 , 则 用 箭头 连接 签名 密 钥 和 签名 者 。 如 
果 一 个 对 密 钥 进行 签名 的 用 户 , 其 密 钥 不 在 这 个 密 钥 环 中 , 则 用 箭头 连接 签名 密 钥 和 问号 
“?”, 表 示 该 用 户 不 知道 签名 者 是 谁 。 

图 9-13 说 明了 如 下 几 点 : 

(1) 除了 结 点 工 外 ,该 用 户 全 部 信任 和 部 分 信任 的 密 钥 所 有 者 的 所 有 密 钥 均 被 签名 。 
这 种 用 户 签名 并 不 总 是 必要 的 (如 结 点 L) :但 实际 上 ,大 多 数 用 户 都 会 为 其 信任 的 所 有 者 签 
名 。 因 此 ,即使 下 的 密 钥 是 被 信任 的 引进 者 下 签名 的 :用户 仍 会 选择 直接 对 王 的 密 钥 进行 
签名 。 

(2) 假设 可 以 用 双方 信任 的 签名 验证 一 个 密 钥 , 则 当 A 和 了 B 同时 部 分 信任 对 H 的 密 钥 
签名 时 , 则 PGP 认为 此 密 钥 合法 。 

(3) 如 果 一 个 密 钥 被 一 方 完 全 信任 的 签名 者 或 被 两 方 部 分 信任 的 签名 者 签名 , 则 认为 
该 密 钥 合法 ,但 可 能 在 签名 其 他 密 钥 时 不 被 信任 。 例 如 ,由 于 该 用 户 信 任 的 EE 签名 NN 的 密 
钥 ,使 得 N 的 密 钥 合法 。 但 由 于 该 用 户 并 没有 赋 信 任 值 给 N, 该 用 户 不 相信 N 对 其 他 密 钥 
签名 。 因 此 .虽然 R 的 密 钥 由 N 签名 .PGP 认为 R 的 密 钥 是 不 合法 的 。 这 种 情况 产生 了 很 
好 的 效果 。 如 果 你 想 向 某 人 发 送 私 人 消息 ,你 并 不 需要 在 任何 方面 都 信任 他 ,而 只 需要 确信 
你 拥有 他 的 公 钥 。 

(4) 图 9-13 也 说 明了 一 个 拥有 两 个 unknown 标识 的 孤立 结 点 S。 这 种 密 钥 可 能 来 自 
域 密 钥 服务 器 。PGP 并 不 会 因为 它 来 源 于 有 信誉 的 服务 器 就 简单 地 认为 它 合 法 ,用 户 必 须 
对 它 签名 或 告知 PGP 它 希 望 信任 该 公 钥 的 签名 者 来 使 该 密 钥 合法 。 
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最 后 要 说 明 的 是 ,前 面 提 到 可 以 用 多 个 用 户 标识 与 公 钥 环 中 的 一 个 公 钥 相关 的 问题 。 
由 于 一 个 人 可 以 改变 名 字 ,或 使 用 不 同 的 名 字 签 名 ,或 使 用 不 同 的 电子 邮件 地 址 ,可 能 出 现 
上 述 情况 。 因 此 ,可 以 用 公 钥 作为 树 的 根 ,此 树 拥有 多 个 用 户 标识 ,每 个 用 户 标 识 又 拥有 多 
个 签名 的 公 钥 。 公 和 钥 与 特定 用 户 标识 的 绑 定 关系 可 用 依 顿 于 公 钥 和 用 户 标 识 的 签名 来 区 
分 ,该 密 钥 的 信任 级 别 将 依赖 于 所 有 相关 的 签名 。 

3. 撤销 公 和 钥 

用 户 可 能 因为 防止 攻击 或 在 某 一 特定 时 期 不 想 使 用 原来 的 密 钥 而 希望 撤销 当前 使 用 的 
公 钥 。 当 攻击 者 获得 了 用 户 未 加 密 的 私 钥 或 获得 了 私 钥 环 中 的 私 钥 和 口令 时 ,用 户 必 须 撤 
销 该 公 钥 。 

通常 ,撤销 一 个 公 钥 需要 所 有 者 签发 一 个 密 钥 撤销 证 书 。 该 证 书 与 一 般 的 签名 证 书 相 
同 ,并 包括 一 个 表明 该 证 书 的 目的 是 用 来 撤销 该 公 钥 的 指示 信息 , 且 必 须 用 相应 的 私 钥 来 签 
名 该 公 钥 撤销 证 书 , 然 后 所 有 者 快速 而 广泛 地 散发 该 证 书 ,使 得 相关 用 户 可 以 更 新 他 们 的 公 
钥 环 。 

同样 一 个 获得 所 有 者 私 钥 的 攻击 者 也 可 以 发 布 一 个 这 样 的 证 书 , 但 这 会 使 得 攻击 者 和 
合法 所 有 者 一 样 无 法 再 使 用 该 公 钥 ,因此 ,这 种 恶意 窃取 私 钥 的 威胁 性 不 大 。 


9.4 S/MIME 


S/MIME(Secure/ Multipurpose Internet Mail Extension) 在 RSA 数据 安全 性 的 基础 
上 ,加 强 了 互联 网 电子 邮件 格式 标准 MIME 的 安全 性 。 虽 然 PGP 和 S/MIME 都 是 IETF 
工作 组 推出 的 标准 ,但 S/MIME 侧重 于 作为 商业 和 团体 使 用 的 工业 标准 ,而 PGP 则 倾向 于 
为 许多 用 户 提 供 个 人 电子 邮件 的 安全 性 。 


9.4.1 传统 电子 邮件 格式 


RFC 822 定义 了 一 种 用 电子 邮件 传输 的 文本 消息 格式 ,是 基于 Internet 传递 的 文本 邮 
件 消息 标准 ,并 被 广泛 使 用 。 在 RFC 822 标准 中 ,消息 包括 信封 和 内 容 两 部 分 ,信封 包含 用 
于 传递 和 发 送 的 任何 信息 ,内 容 是 指 要 发 给 接收 方 的 对 象 。RFC 822 标准 仅 应 用 在 内 容 上 ， 
而 内 容 标准 包括 一 组 用 于 邮件 系统 创建 信封 的 报头 域 , 以 及 简化 程序 获取 该 信息 的 步骤 。 

RFC 822 描述 的 消息 结构 非常 简单 。 一 个 消息 包含 若干 行 的 报头 和 无 限制 的 正文 。 报 
头 与 正文 之 间 用 一 个 空 行 隔 开 ,消息 是 ASCII 码 的 文本 ,而 从 第 一 行 到 第 一 个 空 行 的 内 容 
由 邮件 系统 的 用 户 代 理 使 用 。 

报头 通常 由 关键 字 、 冒 号 *: ”和 该 关键 字 的 参数 组 成 ,并 允许 一 个 长 行 被 分 割 为 若干 短 
行 , 最 常用 的 关键 字 为 From、To、Subject 和 Date。 例 如 : 

Date: Tue, 01 Dec 2009 11: 25: 17 (EST) 

FROM: "Raymond Yao" 一 raymond@nuist. edu. cn> 

Subject: Welcome 


To: mary@nuist. edu. cn 
Ce: Jones@163. com 
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Hello. This section begins the actual message body，which is delimited from the message heading by 
a blank line. 
RFC 822 报头 包含 的 另 一 个 域 是 消息 标识 Message-ID。 该 域 包含 与 该 消息 相关 的 一 
个 唯一 标识 。 


9.4.2 MIME 


MIME 是 对 RFC 822 框架 的 一 个 扩展 ,解决 了 使 用 SMTP 或 其 他 邮件 传输 协议 、RFC 822 
电子 邮件 存在 的 一 些 问题 和 限制 : 

(1) SMTP 不 能 传输 可 执行 文件 或 其 他 二 进 制 对 象 。 为 了 使 用 SMTP 邮件 系统 ,可 以 
采用 许多 方式 将 二 进 制 文件 转化 为 文本 格式 ,如 流行 的 UNIX UUencode/UUdecode 模式 ， 
但 没有 一 个 作为 标准 或 事实 上 的 标准 。 

(2) SMTP 不 能 传递 包括 国际 语言 字符 的 文本 数据 ,因为 该 字符 集 用 8 位 描述 ,其 值 为 
128 或 更 大 ,而 SMTP 限于 7 位 ASCII 码 。 

(3) SMTP 服务 器 可 以 拒绝 超过 一 定 大 小 的 邮件 消息 。 

(4) SMTP 网 关 在 ASCII 码 和 EBCDIC 码 之 间 转 换 时 没有 使 用 一 致 的 映射 。 

(5) 到 X. 400 电子 邮件 网 络 的 SMTP 网 关 不 能 处 理 包 含 在 X. 400 消息 中 的 非 文 本 
数据 。 

(6) 一 些 SMTP 的 实现 与 定义 在 RFC 821 中 的 SMTP 标准 不 完全 一 致 。 

MIME 期 望 以 RFC 822 实现 兼容 的 方式 解决 以 上 问题 。 

1. 概述 

MIME 说 明 书 包含 如 下 要 素 : 

(1) 定义 了 5 个 新 的 报头 域 ,这 些 域 提供 正文 信息 (可 能 在 RFC 822 报头 中 有 定义 )。 

(2) 定义 了 若干 内 容 格式 ,标准 化 支持 多 媒体 的 电子 邮件 。 

(3) 定义 了 编码 转换 方式 ,使 得 任何 内 容 格式 均 可 转化 为 邮件 系统 认可 的 格式 。 

MIME 中 定义 的 5 个 报头 域 如 下 : 

。 MIME-Version(MIME 版 本 ): 其 值 必须 为 1.0, 表 明 该 消息 符合 RFC 2045 和 RFC 2046 。 

。 Content-Type( 内 容 类 型 ) : 描述 正文 中 包含 的 数据 类 型 ,使 得 接收 方 代理 可 以 选择 

合适 的 代理 或 机 制 表示 数据 或 正确 人 处理 数据 。 

。 Content-Transfer-Encoding( 内 容 转 换 编 码 ): 描述 将 消息 正文 转换 为 可 以 传输 的 类 

型 转换 方式 。 

。 Content-ID( 内 容 标识 ): 在 多 重 上 下 文中 唯一 标识 MIME 实体 的 标识 。 

。 Content-Description( 内 容 描 述 ): 正文 对 象 的 文本 描述 .在 该 对 象 不 可 读 时 使 用 (如 

音频 数据 )。 

RFC 822 报头 可 以 出 现 一 个 或 多 个 域 。 在 实现 中 必须 支持 MIME-Version,Content- 
Type 和 Content-Transfer-Encoding 域 . 可 以 选择 支持 Content-ID 和 Content-Description 
域 ,并 且 接 收 方 可 以 忽略 这 两 个 域 。 

2. MIME 内 容 类 型 


MIME 中 有 大 量 关 于 内 容 类 型 定义 的 说 明 ,体现 了 在 多 媒体 环境 下 需要 提供 多 种 信息 
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表示 方法 的 需求 。 
表 9-6 列 出 了 REFC 2046 中 说 明 的 内 容 类 型 ,主要 有 7 种 不 同 的 类 型 和 8 种 子 类 型 。 一 
般 来 说 ,用 内 容 类 型 描述 数据 的 通用 类 型 ,用 子 类 型 描述 该 数据 类 型 的 特殊 格式 。 


表 9-6 MIME 内 容 类 型 


类 型 子 类 型 描 述 
ee Plain 无 格式 文本 ,为 ASCII 码 或 ISO 8859 码 
Enriched 提供 丰富 的 文档 信息 
Mixed 各 部 分 相互 独立 但 一 起 传送 接收 方 看 到 的 形式 与 邮件 消息 中 的 形式 相同 
Parallel 除 在 传送 时 各 部 分 无 序 外 ,其 余 与 Mixed 相同 
Multipart Alternative 不 同 部 分 是 同一 消息 的 不 同 表 现形 式 , 按 增 序 排列 ,接收 方 系统 将 按照 最 
佳 方式 显示 
Digest 与 Mixed 相似 ,但 每 部 分 默认 的 类 型 / 子 类 型 为 message/rfc822 
rfc822 封装 消息 的 正文 与 RFC 822 一 臻 
Message Partial 允许 按 接收 方 透明 的 方式 对 大 邮件 分 段 
External-body | 包含 一 个 对 存在 于 别处 的 对 象 的 指针 
sai jpeg JFIF 编码 的 JPEG 图 像 
gif 图 像 为 GIF 格式 
Video mpeg MPEG 格式 
Audio Basic 单 通道 8 位 ISDN .8kHz 编码 
Mobeni PostScript Adobe PostScript 
octet-stream 一 般 的 8 位 二 进 制 数据 


正文 为 文本 类 型 (text type) 时 .除了 要 支持 指定 字符 集 外 不 需要 特殊 的 软件 来 获取 文 
本 的 全 部 含义 ,因此 主要 的 子 类 型 为 纯 文本 (plain text) . 即 由 简单 的 ASCII 码 或 ISO 8859 
字符 组 成 的 字符 串 。 子 类 型 enriched 则 允许 拥有 更 多 的 格式 信息 。 

类 型 为 多 部 分 类 型 (multipart type) 时 .表示 正文 中 包含 多 个 相互 独立 的 部 分 。 域 
Content-Type 中 包含 一 个 称 为 分 界 符 的 参数 。 该 分 界 符 定义 了 正文 中 各 部 分 的 分 隔 符 。 
此 分 界 符 不 能 随意 出 现 , 而 必须 从 一 个 新 行 开始 ,并 在 两 个 连 字符 后 跟 分 界 符 值 ,最 后 一 个 
分 界 符 表示 最 后 一 个 部 分 的 结尾 .并 有 两 个 连 字 符 做 后 级 。 在 各 个 部 分 .可 以 有 一 个 通常 的 
MIME 报头 。 

以 下 是 一 个 多 正文 消息 的 简单 例子 .包含 由 简单 文本 组 成 的 两 个 部 分 : 


From: Nathaniel Borenstein 一 nsb@bellcore. com> 

To: Ned Freed 二 ned@innosoft. com> 

Subject: Sample message 

MIME-Version: 1.0 

Content-type: multipart/mixed; boundary= "simple boundary" 

This is the preamble. Tt is to be ignored, though it is a handy place for mail composers to include an 
explanatory note to non-MIME conformant readers. 

-simple boundary 

This is implicitly typed plain ASCII text. It does NOT end with a linebreak. 
-simple boundary 

Content-type: text/plain; charset 一 us-ascii 

This is explicitly typed plain ASCII text. It DOES end with a linebreak. 
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-simple boundary- 
This is the epilogue. Tt is also to be ignored. 
(1) multipart 类 型 有 4 种 子 类 型 ,其 语法 相同 。 
@ 子 类 型 multipart/mixed 用 于 将 相互 独立 的 各 部 分 按 一 定 的 顺序 绑 定 。 
@ 子 类 型 multipart/parallel 表示 各 部 分 的 顺序 无 关 紧 要 。 如 果 接 收 系统 合适 , 则 各 部 
分 可 并 行 接收 。 例 如 ,在 图 片 或 文本 显示 时 ,可 同时 播放 音频 。 
@ 子 类 型 multipart/alternative 表示 这 若干 个 部 分 是 同一 个 信息 的 不 同 表 示 。 例 如 : 
From: Nathaniel Borenstein ~—nsb(@bellcore. com> 
To: Ned Freed 二 ned@innosoft. com> 
Subject: Formatted text mail 
MIME-Version: 1.0 
Content-type: multipart/alternative; boundary= boundary42 
--boundary42 
Content-Type: text/plain; charset= us-ascii 
…plain text version of message goes here… 
--boundary42 
Content-Type: text/enriched 
… 了 了 FC 1896 text/enriched version of same message goes here… 
-boundary42- 


在 此 子 类 型 中 ,各 部 分 按 优先 级 递增 的 方式 排序 。 例 如 ,如 果 接 收 方 可 以 处 理 text/ 
enriched 格式 的 信息 , 则 按 此 格式 处 理 , 否 则 就 使 用 纯 文 本 方式 。 

@ 子 类 型 multipart/ digest 用 于 将 正文 的 每 个 部 分 作为 一 个 带 有 头 的 RFC 822 消息 ， 
从 而 使 得 一 个 消息 中 可 以 包含 多 个 独立 的 消息 。 例 如 ,可 以 用 一 个 组 缓冲 器 收集 组 中 各 成 
员 的 电子 邮件 消息 并 将 其 封装 到 一 个 MIME 消息 中 发 送 。 

(2) 类 型 message 提供 了 许多 MIME 的 重要 特性 。 

@ 子 类 型 message/rfc822 表明 该 正文 是 一 个 完整 的 消息 ,包括 了 头 和 正文 。 除 子 类 型 
的 名 字 外 ,封装 的 消息 既 可 以 是 RFC 822 消息 ,也 可 以 是 任何 MIME 消息 。 

人 @ 子 类 型 message/partial 使 得 可 以 将 一 个 大 消息 分 段 为 若干 部 分 ,并 可 在 目的 地 重新 
组 装 。 对 这 个 子 类 型 而 言 ,Content-Type: Message/Partial 域 需要 说 明 三 个 参数 : 

第 一 个 是 对 同一 个 消息 所 有 分 片 一 致 的 标识 id, 第 二 个 是 每 段 唯一 的 序列 号 sequence 
number, 第 三 个 是 总 的 段 数 total。 

@ 子 类 型 message/external-body 表示 消息 中 需要 转换 但 不 包含 在 正文 中 的 实际 数 
据 , 而 正文 中 包含 了 存 取 该 数据 所 需 的 信息 。 与 其 他 消息 类 型 一 样 ,此 子 类 型 有 一 个 外 部 报 
头 和 封装 在 消息 内 的 报头 。 外 部 头 仅 需要 Content-Type 域 , 该 域 表 示 消 息 / 外 部 头 的 此 子 
类 型 。 内 部 头 是 该 封装 消息 的 消息 头 。 域 Content-Type 中 必须 包含 一 个 描述 存 取 方 式 的 
类 型 参数 ,如 FTP。 

(3) 类 型 application 指 的 是 其 他 类 型 的 数据 :如 不 能 解释 的 二 进 制 数据 或 由 邮件 应 用 
程序 处 理 的 信息 。 

3. MIME 转换 编码 

MIME 说 明 书 中 另 一 个 主要 部 分 是 定义 消息 正文 的 转换 编码 。 其 目的 是 在 庞大 的 网 
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络 环境 中 提供 可 靠 的 投递 方式 。 

MIME 标准 定义 了 两 种 编码 方式 .但 域 Content-Transfer-Encoding 可 以 取 6 个 值 ,如 
表 9-7 所 示 。 其 中 当 值 为 7 位 .8 位 和 binary 时 ,并 不 进行 编码 ,而 是 提供 一 些 与 数据 属性 
相关 的 信息 。 对 SMTP 传输 而 言 .用 7 位 较 安全 ,而 在 其 他 邮件 传输 协议 中 可 以 使 用 
8 位 和 binary。Content-Transfer-Encoding 域 也 可 取 值 x-token, 用 来 表示 其 他 编码 方式 ， 
并 提供 该 方式 的 名 字 。 这 种 方式 可 以 是 销售 商定 义 的 或 应 用 程序 自 定义 的 方式 。 目 前 ,有 
两 种 方式 : quoted-printable 和 base 64., 它 们 都 是 为 了 提供 一 种 将 所 有 数据 类 型 的 紧 竣 表示 
转换 为 便于 人 类 阅读 形式 而 设计 的 。 

(1) quoted-printable 转换 编码 在 数据 由 大 量 可 打印 的 ASCII 字符 组 成 时 使 用 。 其 本 
质 上 是 一 种 不 安全 的 十 六 进 制 字符 表示 方法 ,并 引入 软 回 车 来 解决 每 行 不 得 超过 76 个 字符 
的 限制 。 

(2) base 64 转换 编码 是 一 种 基数 64 的 编码 方法 ,是 一 种 对 二 进 制 数据 进行 编码 的 通 
用 方法 ,在 邮件 传输 程序 中 无 懈 可 击 。 


表 9-7 MIME 转换 编码 


7 位 所 有 数据 都 用 短 行 的 ASCII 码 字符 表示 
8 位 短 行 ,但 可 以 有 非 ASCII 码 字符 
binary 不 仅 可 以 有 非 ASCII 码 字 符 , 且 可 以 存在 SMTP 无 法 传送 的 长 行 


如 果 被 编码 的 数据 大 多 是 ASCII 码 字 符 , 则 数据 编码 后 的 形式 大 部 分 仍 是 能 被 
人 识别 的 一 种 数据 编码 方式 


quoted-printable 


base 64 将 6 位 输入 转 为 8 位 输出 的 方式 ,转换 后 的 数据 均 为 可 打印 的 ASCII 码 字符 
x-token 非 标准 编码 方式 的 名 称 
4. 规范 格式 


MIME 和 S/MIME 有 一 个 规范 格式 的 重要 概念 。 规 范 格 式 指 的 是 一 种 与 内 容 类 型 相 
对 应 的 格式 ,可 在 系统 中 作为 标准 使 用 . 表 9-8 可 阐明 此 问题 。 
表 9-8 ”本 地 格式 和 规范 格式 
被 传送 的 正文 部 分 是 按 系 统 的 本 地 格式 创建 的 ,使 用 本 地 字符 集 和 行 结束 标记 。 
正文 可 以 是 UNIX 风格 的 文本 文件 .Sun 光栅 图 片 或 VMS 索引 文件 或 依赖 于 系 


统 的 仅 存储 在 内 存 中 的 声音 文件 等 任何 信息 。 从 根本 上 说 ,数据 依据 媒体 类 型 
按照 本 地 格式 创建 


整个 正文 部 分 包括 外 部 信息 .如 记录 长 度 和 可 能 的 文件 属性 信息 均 转 化 为 一 臻 
的 规范 格式 。 正 文中 特定 媒体 类 型 和 其 属性 将 按 本 地 格式 使 用 。 将 其 转换 为 合 
规范 格式 适 的 本 地 格式 将 涉及 到 字符 集 的 转换 、 声 音 数据 的 转换 、 压 缩 或 其 他 与 媒体 类 型 
相关 的 操作 。 如 果 涉 及 到 字符 集 的 转换 则 应 注意 理解 与 字符 集 密切 相关 的 媒体 
类 型 的 语义 (如 text 子 类 型 中 的 plain 和 其 他 含义 丰富 的 字符 集 ) 


本 地 格式 


9.4.3 S/MIME 的 功能 


S/MIME 是 从 PEM 和 MIME 发 展 而 来 的 。 同 PGP 一 样 ,.S/MIME 也 利用 单 向 散 列 
算法 和 公 钥 与 私 钥 的 加 密 体系 。 但 它 与 PGP 主要 有 两 点 不 同 : 它 的 认证 机 制 依赖 于 层次 
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结构 的 证 书 认 证 机 构 : 所 有 下 一 级 的 组 织 和 个 人 的 证 书 由 上 一 级 的 组 织 负责 认证 ,而 最 上 一 
级 的 组 织 ( 根 证 书 ) 之 间 相 互 认 证 ,整个 信任 关系 基本 是 树 状 的 ,这 就 是 所 谓 的 Tree of 
Trust。 还 有 ,S/MIME 将 信件 内 容 加 密 签 名 后 作为 特殊 的 附件 传送 , 它 的 证 书 格式 采用 
X. 509 v3 相符 的 公 和 钥 证 书 。 

1. S/MIME 功能 


S/MIME 提供 如 下 功能 : 

(1) 封装 数据 。 由 任何 类 型 的 加 密 内 容 和 加 密 该 内 容 所 用 的 加 密 密 钥 组 成 , 密 钥 可 以 
是 与 一 个 或 多 个 接收 方 对 应 的 多 个 密 钥 。 

(2) 签名 数据 。 数 字 签 名 通过 提取 待 签 名 内 容 的 数字 摘要 ,并 用 签名 者 的 私 钥 加 密 得 
到 。 然 后 ,用 base 64 编码 方法 重新 对 内 容 和 签名 编码 。 因 此 ,一 个 签名 了 的 数据 消息 只 能 
被 具有 S/MIME 能 力 的 接收 方 处 理 。 

(3) 透明 签名 数据 。 签 名 的 数据 形成 了 内 容 的 数字 签名 。 但 在 这 种 情况 下 ,只 有 数字 
签名 采用 了 base 64 编码 。 因 此 ,没有 SVMIME 功能 的 接收 方 虽 然 无 法 验证 签名 ,但 却 可 以 
看 到 消息 内 容 。 

(4) 签名 并 封装 数据 。 仅 签名 实体 和 仅 封装 实体 可 以 艇 套 , 能 对 加 密 后 的 数据 进行 签 
名 和 对 签名 数据 或 透明 签名 数据 进行 加 密 。 

2. 密码 算法 

表 9-9 总 结 了 在 S/MIME 中 使 用 的 密码 算法 。S/MIME 中 使 用 了 如 下 术语 : 

(1) Must。 在 规格 说 明 书 中 表示 一 定 要 满足 的 需求 ,其 实现 必须 与 规格 说 明 中 功能 
一 致 。 

(2) Should。 如 果 在 特定 条 件 下 有 合理 的 理由 可 以 忽略 ,但 推荐 其 实现 包含 该 功能 。 

表 9-9 S/MIME 中 使 用 的 密码 算法 

功 能 要 求 
创建 用 于 数字 签名 的 数字 摘要 必须 支持 SHA-1 ,接收 方 应 该 支持 MD5, 以 便 向 后 兼容 
发 送 代理 和 接收 代理 必须 支持 DSS 
加 密 数 字 摘 要 形成 数字 签名 发 送 代理 应 该 支持 RSA 加 密 
接收 代理 应 该 支持 验证 密 钥 大 小 在 512 一 1024 位 的 RSA 签名 
发 送 代理 和 接收 代理 必须 支持 Diffie-Hellman 
发 送 代理 应 该 支持 密 钥 大 小 在 512 一 1024 位 的 RSA 加 密 
用 一 次 性 会 话 密 钥 加 密 消 息 
接收 代理 应 该 支持 RSA 解密 发 送 代理 和 接收 代理 必须 支持 3DES 
发 送 代理 必须 支持 AES 加 密 , 应 该 支持 RC2/40 解密 
接收 代理 必须 支持 SHA-1 HMAC 
接收 代理 应 当 支 持 SHA-1 HMAC 


为 传送 消息 加 密会 话 密 钥 


创建 一 个 消息 鉴定 代码 


S/MIME 组 合 三 种 公 钥 算法 。DSS(Digital Signature Standard) 是 其 推荐 的 数字 签名 
算法 ,Diffie-Hellman 是 其 推荐 的 密 钥 交换 算法 .实际 上 .在 S/MIME 中 使 用 的 是 其 能 加 密 
解密 的 变 体 ElIGamal。RSA 既 可 以 用 做 签名 ,也 可 以 加 密会 话 密 钥 。 这 些 算法 与 PGP 中 
使 用 的 算法 相同 ,从 高 层 提供 了 其 安全 性 。 规 格 说 明 推 荐 使 用 160 位 的 SHA-1 算法 作为 数 
字 签 名 的 散 列 函数 ,但 要 求 接收 方 能 支持 128 位 的 MD5 算法 。 
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对 消息 加 密 而 言 ,推荐 使 用 3DES。 但 实现 时 也 应 支持 40 位 的 RC2, 后 者 是 一 种 弱 加 
密 算法 ,美国 允许 出 口 该 算法 。 

S/MIME 规格 说 明 包 括 如 何 决 定 采用 何 种 加 密 算法 。 从 本 质 上 说 .一 个 发 送 方 代 理 需 
要 进行 如 下 两 个 抉择 : 一 是 发 送 方 代理 必须 确定 接收 方 代理 是 否 能 够 解密 该 加 密 算法 ; 二 
是 如 果 接 收 方 代理 只 能 接收 弱 加 密 的 内 容 , 发 送 方 代 理 必 须 确定 弱 加 密 方 式 是 否 可 以 接受 
的 。 为 了 能 达到 上 述 要 求 ,发 送 方 代 理 可 以 在 它 发 送 消息 之 前 先 宣布 它 的 解密 能 力 , 巾 接收 
方 代理 将 该 消息 存储 , 留 给 将 来 使 用 。 

发 送 方 代理 必须 按照 如 下 顺序 遵守 如 下 规则 : 

(1) 如 果 发 送 方 代理 有 一 个 接收 方 解 密 性 能 表 , 则 它 应 该 选择 表 中 的 第 一 个 ( 即 优先 级 
最 高 的 ) 性 能 。 

(2) 如 果 发 送 方 代理 没有 接收 方 的 解密 性 能 表 . 但 曾经 接收 到 一 个 或 多 个 来 自 于 接收 
方 的 消息 , 则 应 该 使 用 与 最 近 接 收 到 的 消息 一 样 的 加 密 算法 ,加 密 将 要 发 送 给 接收 方 的 
消息 。 

(3) 如 果 发 送 方 代 理 没有 接收 方 的 任何 解密 性 能 方面 的 知识 .并 且 想 冒险 一 试 (接收 方 
可 能 无 法 解密 消息 ), 则 应 该 选择 3DES。 

(4) 如 果 发 送 方 代 理 没有 接收 方 的 任何 解密 性 能 方面 的 知识 ,并 且 不 想 冒 险 , 则 发 送 方 
代理 必须 使 用 RC2/40。 

如 果 消 息 需要 发 给 多 个 接收 方 , 并 且 它 们 没有 一 个 可 以 接受 的 .共同 的 加 密 算法 , 则 发 
送 方 代理 需要 发 送 两 条 消息 。 此 时 ,该 消息 的 安全 性 将 由 于 安全 性 低 的 一 份 拷贝 而 易 受 到 
攻击 。 


9.4.4 S/MIME 消息 


S/MIME 使 用 了 一 系列 新 的 MIME 内 容 类 型 ,如 表 9-10 所 示 。 所 有 的 新 类 型 都 使 用 
PKCS(Public-Key Cryptography Specifications) 指示 .PKCS 是 纪念 为 S/MIME 做 出 贡献 
的 RSA 实验 室 发 布 的 一 组 公 钥 密码 规格 说 明 。 

表 9-10 S/MIME 内 容 类 型 


类 型 子 类 型 smime 参数 描 述 
Wt Signed 两 部 分 的 透明 签名 消息 : 一 部 分 是 消息 , 另 一 部 分 
是 签名 

Pkcs7-mime 签名 数据 签名 的 S/MIME 实体 
Pkcs7-mime 封装 数据 加 密 的 S/MIME 实体 

Application | Pkcs7-mime 退化 的 签名 数据 | 仅 包含 公 钥 证 书 的 实体 
Pkcs7-mime 压缩 数据 一 个 压缩 的 S/MIME 实体 
Pkcs7-signature | 签名 数据 签名 子 部 分 的 内 容 类 型 为 multipart/signed 的 消息 


下 面 逐一 介绍 S/MIME 消息 处 理 过 程 。 

1. 保护 MIME 实体 

S/MIME 用 签名 和 /或 加 密 保 护 MIME 实体 。 一 个 MIME 实体 可 以 是 一 个 整体 消息 
( 除 RFC 822 报头 外 ) .或 当 MIME 内 容 类 型 为 multipart 时 ,MIME 实体 是 一 个 或 多 个 消 
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息 的 子 部 分 。MIME 实体 将 按照 MIME 消息 准备 规则 进行 准备 工作 ,然后 将 MIME 实体 
和 一 些 与 安全 相关 的 数据 (如 算法 标识 符 、 证 书 ) 一 起 用 S/MIME 处 理 , 得 到 所 谓 的 PKCS 
对 象 。 最 后 ,将 PKCS 对 象 作为 消息 内 容 封 装 到 MIME 中 (提供 合适 的 MIME 头 )。 后 面 
将 举例 说 明 。 

总 之 ,将 要 发 送 的 消息 需要 转换 为 规范 形式 。 特 别 地 ,对 给 定 的 类 型 和 子 类 型 面 言 , 相 
应 的 规范 形式 将 作为 消息 内 容 。 对 一 个 多 部 分 的 消息 而 言 .合适 的 规范 形式 被 用 于 每 个 子 
部 分 。 

使 用 编码 转换 时 应 注意 ,在 大 多 数 情况 下 .使 用 安全 算法 后 将 产生 部 分 或 全 部 用 二 进 制 
数据 表示 的 对 象 ,将 该 对 象 放 入 外 部 MIME 消息 后 ,一 般 用 base 64 转换 编码 对 其 进行 转 
换 。 而 对 一 个 多 部 分 签名 的 消息 ,安全 处 理 过 程 并 不 改变 子 部 分 的 消息 内 容 , 除 了 内 容 用 7 
位 表示 的 以 外 ,其 他 代码 转换 应 使 用 base 64 或 quoted printable ,使 得 应 用 签名 的 内 容 不 会 
被 改变 。 下 面 逐 个 讨论 S/MIME 内 容 类 型 。 

2. 封装 数据 

子 类 型 application/pkcs7-mime 拥有 一 个 smime-type 参数 。 其 结果 (对 象 ) 采 用 ITU-T 推 
荐 的 X. 209 中 定义 的 BER(Basic Encoding Rules) 表 示 法 。BER 格式 由 8 位 字符 串 组 成 ， 
即 为 二 进 制 数据 ,因此 ,此 对 象 可 在 外 部 MIME 消息 中 用 base 64 转换 算法 编码 。 首 先 ,看 
看 封装 的 数据 。 

MIME 实体 准备 封装 数据 的 步骤 如 下 : 

@ 为 特定 的 对 称 加 密 算法 (RC2/40 或 3DES) 生 成 伪 随 机 的 会 话 密 钥 。 

@ 用 每 个 接收 方 的 RSA 公 钥 分 别 加 密会 话 密 钥 。 

@ 为 每 个 接收 方 准备 一 个 接收 方 信息 块 (RecipientInfo) ,其 中 包含 接收 方 的 公 钥 证 书 
标识 ,加 密会 话 密 钥 的 算法 标识 和 加 密 后 的 会 话 密 钥 。 

@ 用 会 话 密 钥 加 密 消 息 内 容 。 

接收 方 信息 块 (RecipientInfo) 后 面 紧 跟 着 构成 封装 数据 的 加 密 内 容 . 然 后 用 base 64 编 
码 , 例 如 (不 包括 RFC 822 头 ) : 

Content-Type: application/pkcs7-mime; smime-type= enveloped-date; 

name= smime. p7m 
Content-Transfer-Encoding: base 64 
Content-Disposition: attachment; filename= smime. p7m 
rfvbnj75. 6tbBghyHhHUujhJhjH77n8HHGT9HG4VQp{fyF467GhIG{H{YT67n8HHGghyHhHUujh 
Jh4VQpfyF467GhIGfHIfYGTrfvbnjT6jH7756tbB9HIfS8HHGTrfvhJhjH776tbB9HG4VQbnj7567GhI 
GfHfYT6ghyHhHUujpfyF40GhIGfHfQbnj756YT64V 

为 了 恢复 加 密 的 消息 .接收 方 首先 去 掉 base 64 编码 ,然后 用 其 私 钥 恢 复 会 话 密 钥 ,最 
后 用 会 话 密 钥 解密 得 到 消息 内 容 。 

3. 签名 数据 

smime-type 的 签名 数据 可 以 被 一 个 或 多 个 签名 者 使 用 。 为 了 简单 起 见 ,我们 将 讨论 范 
围 限定 在 单个 数字 签名 内 。MIME 实体 准备 签名 数据 的 步骤 如 下 : 

J 选择 消息 摘要 算法 (SHA 或 MD5) 。 

人 @ 计算 待 签名 内 容 的 消息 摘要 或 散 列 函数 。 
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@ 用 签名 者 的 私 钥 加 密 数 字 摘 要 。 

@ 准备 一 个 签名 者 信息 块 (SignerInfo) ,其 中 包含 签名 者 的 公 钥 证 书 , 消 息 摘 要 算法 的 
标识 符 ,加密 消 息 摘要 的 算法 标识 符 和 加 密 的 消息 摘要 。 

签名 数据 实体 包含 一 系列 块 , 包 括 一 个 消息 摘要 算法 标识 符 , 被 签名 的 消息 和 签名 者 信 
息 块 (SignerInfo)。 签 名 数据 实体 可 以 包含 一 组 公 角 证书. 该 证 书 可 以 构成 一 个 从 上 级 认证 
机 构 或 更 高 级 的 认证 机 构 证 明 该 签名 者 的 一 条 链 路 。 最 后 将 这 些 数据 用 base 64 转换 编 
码 。 例 如 (不 包括 RFC 822 头 ): 


Content-Type: application/pkcs7-mime; smime-type= signed-date; 

name= smime. p7m 
Content-Transfer-Encoding: base 64 
Content-Disposition: attachment; filename= smime. p7m 
567GhIGfHIYT6ghyHhHUujpfyF4f8HHGTrfvhJhjH776tbB9HG4VQbnj777n8HHGT9HG4VQpfy 
F467GhIGfHfYT6rfvbnj756tbBghyHhHUujhJhjHHUujhJh4VQpfyF467GhIGTHfYGTrfvbnjT6Jh 
7756tbB9H7n8HHGghyHh6YT64VOGhIG{H{Qbnj75 


为 了 恢复 签名 消息 并 验证 签名 ,接收 方 首先 去 掉 base 64 编码 ,然后 用 签名 者 的 公 钥 解 
密 消息 摘要 ,接收 方 独立 计算 消息 摘要 ,并 将 其 与 解密 得 到 的 消息 摘要 进行 比较 ,从 而 验证 
签名 。 

4. 透明 签名 


透明 签名 (clear-signing) 在 对 多 部 分 内 容 类 型 的 子 类 型 签名 时 使 用 。 签 名 过 程 并 不 涉 
及 对 签名 消息 的 转换 ,因此 该 消息 发 送 时 是 明文 。 因 此 ,具有 MIME 能 力 而 不 具备 
S/MIME 能 力 的 接收 方 也 能 阅读 输入 的 消息 。 

一 个 multipart/signed 消息 由 两 部 分 组 成 。 第 一 部 分 可 以 是 任何 MIME 类 型 但 必须 做 
好 准备 ,使 之 在 从 源 端 到 目的 端的 传送 过 程 中 不 被 改变 .这 意味 着 第 一 部 分 不 能 是 7 位 , 需 
要 用 bese 64 或 quoted-printable 编码 。 而 后 .其 处 理 过 程 与 签名 数据 相同 .但 签名 数据 格 
式 的 对 象 中 消息 内 容 域 为 空 ,该 对 象 与 签名 相 分 离 ,再 将 它 用 base 64 编码 ,作为 multipart/ 
signed 消息 的 第 二 部 分 。 第 二 部 分 的 MIME 内 容 类 型 为 application, 子 类 型 为 pkcs7- 
signature。 例 如 : 


Content-Type: multipart/signed; 
Protocol= "application/pkcs7-signature”; 
micalg= shal; boundary= boundary42 
-boundary42 
Content-Type: text/plain 
This is a clear-signed message. 
-boundary42 
Content-Type: application/pkcs7-signature; name 一 smime. p7s 
Content-Transfer-Encoding: base 64 
Content-Disposition: attachment; filename 一 smime. p7s 
ghyHhHUujhJhjH77n8HHGTrfvbnj756tbB9HG4VQpfyF467GhIGfHfYT64VQpfyF467GhIGfHfY 
T6jH77n8HHGghyHhHUujhJh756tbB9HGTrfvbnjn8HHGTrfvhJhjH776tbB9HG4VQbnj7567GHI 
GfHfYT6ghyHhHUujpfyF47GhIGfHfYT64VQbnj756 
-boundary42- 


协议 的 参数 表明 它 是 一 个 由 两 部 分 组 成 的 透明 签名 实体 。 参 数 micalg 表明 使 用 的 是 
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消息 摘要 类 型 。 接 收 方 可 以 从 第 一 部 分 获得 消息 摘要 ,并 同 第 二 部 分 中 恢复 得 到 的 消息 摘 
要 进行 比较 来 进行 认证 。 

5. 注册 请 求 

典型 地 ,一 个 应 用 或 用 户 向 认证 中 心 申请 公 钥 证 书 。S/MIME 的 实体 application/ 
pkcsl0 用 于 传递 证 书 请 求 。 证 书 请 求 包括 证 书 请 求 信息 块 , 公 钥 加 密 算法 标识 符 , 用 发 送 方 
私 钥 对 证 书 请 求 信息 块 签名 。 证 书 请 求 信息 块 包含 证 书 主体 的 名 字 ( 拥 有 待 证 实 的 公 钥 的 
实体 ) 和 该 用 户 公 钥 的 标识 位 串 。 

6. 仅 含 证 书 消息 

仅 包含 证 书 或 CRL 的 消息 在 应 答 注册 请 求 时 发 送 。 该 消息 的 类 型 / 子 类 型 为 application/ 
pkcs7-mime, 并 带 一 个 退化 的 smime-type 参数 。 其 步骤 除 没 有 消息 内 容 和 签名 者 信息 块 为 
空 以 外 ,其 他 过 程 与 创建 签名 数据 消息 相同 。 


9.4.5 S/MIME 证 书 处 理 过 程 


S/MIME 使 用 公 钥 证 书 的 方式 与 X. 509 的 版 本 3 一 致 。S/MIME 使 用 的 密 钥 管理 模 
式 是 严格 的 X. 509 证 书 层次 和 PGP 的 基于 Web 信任 方式 的 一 种 混合 方式 。 按 照 PGP 模 
式 ,S/MIME 的 管理 者 和 (或 ) 用 户 必 须 配置 每 个 客户 端的 信任 密 钥 表 和 CRL。 也 就 是 说 ， 
验证 接收 到 的 签名 和 对 输出 消息 的 签名 工作 都 是 通过 本 地 维护 证 书 实现 的 。 另 一 方面 ,证 
书 由 认证 机 构 颁 发 。 

1. 用 户 代 理 职责 

一 个 S/MIME 用 户 需 要 执行 若干 密 钥 管理 职能 : 

(1) 密 钥 生成 。 与 一 些 行政 管理 机 构 相 关 的 用 户 ( 如 与 局 域 网 管理 相关 ) 必 须 能 生成 单 
独 的 Diffie-Hellman 和 DSS 密 钥 对 ,并 且 应 该 能 生成 RSA 密 钥 对 。 每 个 密 钥 对 必须 是 利 
用 非 确定 的 随机 输入 生成 ,并 以 安全 的 方式 保护 。 用 户 代 理应 该 能 生成 长 度 在 768 位 到 
1024 位 的 RSA 密 钥 对 , 且 禁 止 生成 长 度 小 于 512 位 的 RSA 密 钥 对 。 

(2) 注册 。 为 了 获得 X. 509 公 钥 证 书 , 用 户 的 公 钥 必须 到 认证 机 构 注 册 。 

(3) 证 书 存储 和 检索 。 为 了 验证 接收 到 的 签名 和 加 密 输 出 消息 ,用 户 需 要 存 取 本 地 的 
证 书 列表 。 该 列表 必须 由 本 地 维护 。 

2. VeriSign 证 书 

有 不 少 公 司 都 可 以 提供 证 书 认 证 授权 服务 。 例 如 ,Nortel 设计 了 一 种 企业 认证 授权 解 
决 方案 ,能 够 在 组 织 内 部 提供 S/MIME 支持 。 还 有 一 些 基 于 Internet 的 认证 机 构 , 包 括 
VeriSign,GTE 和 U. S. Postal Service。 其 中 使 用 最 广泛 的 是 VeriSign 认证 服务 。 

VeriSign 提供 与 S/MIME 和 其 他 一 系列 应 用 兼容 的 一 种 认证 服务 ,颁发 称 为 VeriSign 
数字 证 书 (VeriSign Digital ID) 的 X. 509 证 书 。 到 1998 年 初 . 已 有 35000 家 商业 Web 站 点 
使 用 VeriSign 数字 证 书 ,一 百 多 万 使 用 Netscape 和 Microsoft 浏览 器 的 用 户 拥 有 VeriSign 
数字 证 书 。 

VeriSign 数字 证 书包 含 的 内 容 依 赖 于 数字 证 书 的 类 型 和 它 的 用 途 。 但 每 个 数字 证 书 
至 少 包 含 如 下 内 容 : 

。 用 户 公 和 钥 ; 
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。 用 户 名 或 别名 ; 

。 数字 证 书 的 有 效 期 ; 

。 数字 证 书 的 序列 号 ; 

。 颁发 数字 证 书 的 认证 机 构 名 ; 

。 颁发 数字 证 书 的 认证 机 构 的 数字 签名 。 

数字 证 书 还 可 以 包含 其 他 用 户 提 供 的 信息 : 

。 地 址 ， 

。 电子 邮件 地 址 ; 

。 基本 注册 信息 (国家 .邮政 编码 .年龄 和 性 别 ) 。 

VeriSign 提供 了 公 钥 证 书 的 三 种 安全 级 别 ,如 表 9-11 所 示 。 用 户 以 在 线 方式 向 


VeriSign 的 Web 站 点 或 其 他 相关 站 点 申请 证 书 。 第 1 类 和 第 2 类 请 求 可 以 在 线 处 理 ,而 且 
大 多 数 只 需要 几 秒 钟 就 可 以 完成 。 下 面 将 简 述 所 使 用 的 处 理 过 程 : 
表 9-11 VeriSign 公 钥 证 书 类 型 
证 书 确 认 IA 私 钥 保 护 证 书 申请 者 的 私 钥 保护 | ”用户 实现 或 期 望 的 应 


第 1 类 


姓名 和 电子 邮件 
地 址 的 自动 搜索 


PCA: 信任 的 硬件 
CA: 信任 的 硬件 
或 软件 


推荐 使 用 加 密 软 件 
(PIN 保护 ) 


Web 浏览 和 使 用 电子 邮件 


第 1 类 检查 登记 


PCA 和 CA: 信任 


要 求 使 用 加 密 软 件 


个 人 、 公 司 内 或 公司 间 的 电 


第 2 类 | 信息 检查 和 自动 子 邮件 .在 线 定购 、 更 换 密 
多 看 PI 1 
地 址 检查 的 硬件 (PIN 保护 ) 码 和 软件 确认 
行 、 公 司 存 取 、 
人 pe 
出 席 .ID 文档 、 第 3 4 的 在 
席 `ID 文档 ` 第 | PCA 和 CA, 信任 | 要 求 使 用 加 密 软 件 | 服务 .内 容 集成 服务 .电子 
第 3 类 | 2 类 自动 身份 检查 (PIN 保护 ) 
组 织 .团体 的 业务 | 的 硬件 推荐 使 用 硬件 令 牌 ee 
ea | LRAA 的 认证 、 对 服务 的 强 


加 密 

注 : IA 一 Issuing Authority( 签 发 认证 ); PIN 一 Personal Identification Number( 个 人 身份 号 码 ); CA 一 Certification 
Authority( 认 证 机 构 ); LRAA 一 Local Registration Authority Administrator( 本 地 认证 管理 机 构 ); PCA 一 Verisign Public 
Primary Certification Authority( Verisign 公 钥 认证 机 构 ) 。 

(1) 对 第 1 类 数字 证 书 而 言 ,VeriSign 通过 发 送 一 个 PIN 命令 和 从 应 用 中 提取 电子 邮 
件 地 址 确认 用 户 的 电子 邮件 地 址 。 

(2) 对 第 2 类 数字 证 书 而 言 ,VeriSign 除了 进行 与 第 1 类 数字 证 书 相 同 的 检查 外 ,还 使 
用 一 个 用 户 数 据 库 自动 比较 应 用 中 提供 的 信息 。 最 后 .向 给 定 的 邮件 地 址 发 送 一 个 确认 信 
息 , 告 诉 该 用 户 已 经 按 其 名 字 颁 发 了 一 个 数字 证 书 。 

(3) 对 第 3 类 数字 证 书 而 言 ,VeriSign 需要 更 高 级 的 身份 证 实 。 个 人 必须 提供 有 效 证 
明 来 证 实 其 身份 。 


9.4.6 增强 安全 性 服务 


互联 网 草案 还 提出 了 三 种 增强 安全 性 服务 .其 细节 可 能 会 发 生变 动 .也 可 能 增加 一 些 新 
的 服务 。 这 三 种 服务 分 别 是 : 
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(1) 签收 。 对 签名 数据 对 象 要 求 进行 签收 。 返 回 一 条 签收 消息 可 以 告知 消息 的 发 送 
方 , 已 经 收 到 消息 ,并 通知 第 三 方 接收 方 已 收 到 消息 。 本 质 上 说 ,接收 方 将 对 整个 原始 消息 
和 发 送 方 的 原始 签名 进行 签名 ,并 将 此 签名 与 消息 一 起 形成 一 个 新 的 S/MIME 消息 。 

(2) 安全 标签 。 在 签名 数据 对 象 的 认证 属性 中 可 以 包括 安全 标签 。 安 全 标签 是 一 个 描 
述 被 S/MIME 封装 的 信息 的 敏感 度 的 安全 信息 集合 。 该 标签 既 可 用 于 存 取 控制 ,描述 该 对 
象 能 被 哪些 用 户 存 取 , 还 可 描述 优先 级 (秘密 、 机 密 、 受 限 等 ) 或 角色 ( 哪 种 人 可 以 查看 信息 ， 
如 患者 的 病历 等 ) 。 

(3) 安全 邮寄 列表 。 当 用 户 向 多 个 接收 方 发 消息 时 ,需要 进行 一 些 与 每 个 接收 方 相 关 
的 处 理 , 包 括 使 用 各 接收 方 的 公 钥 。 用 户 可 以 通过 使 用 S/MIME 提供 的 邮件 列表 代理 
(Mail List Agent) 来 完成 这 一 工作 。 邮 件 列表 代理 可 以 对 一 个 输入 消息 为 各 接收 方 进行 相 
应 的 加 密 处 理 , 而 后 自动 发 送 消 息 。 消 息 的 发 送 方 只 需 将 用 MLA 的 公 钥 加 密 过 的 消息 发 
给 MLA 即 可 。 
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计算 机 系统 面临 多 个 严重 的 安全 问题 : 非 授权 的 使 用 、 计 算 机 病毒 、 木 马 等 。 这 些 攻击 
都 与 网 络 安 全 有 关 , 因 为 攻击 是 通过 网 络 实现 的 。 本 章 将 介绍 计算 机 病毒 、 入 侵 检测 和 防 
火 墙 。 


10.1 计算 机 病毒 


计算 机 病毒 一 直 是 计算 机 用 户 和 安全 专家 的 心腹 大 患 。 虽 然 计 算 机 反 病 毒 技术 不 断 更 
新 和 发 展 ,但 是 仍然 不 能 改变 被 动 滞后 的 局 面 ,计算 机 用 户 必 须 不 断 应 付 计 算 机 病毒 的 出 
现 。Internet 的 普及 ,更 加 剧 了 计算 机 病毒 的 泛滥 。 

随 着 网 络 的 日 益 普及 ,计算 机 病毒 具有 如 下 的 发 展 趋 势 : 

(1) 病毒 传播 方式 不 再 以 存储 介质 为 主要 的 传播 载体 ,网络 成 为 计算 机 病毒 传播 的 主 
要 载体 。 

(2) 传统 病毒 日 益 减 少 ,网 络 蠕虫 成 为 最 主要 和 破坏 力 最 大 的 病毒 类 型 。 

(3) 病毒 与 木马 技术 相 结合 ,出现 带 有 明显 病毒 特征 的 木马 或 者 带 木 马 特征 的 病毒 。 

可 以 看 出 ,网 络 的 发 展 在 一 定 程度 上 促使 病毒 的 发 展 .而 日 新 月 异 的 技术 ,给 病毒 提供 
了 更 大 的 存在 空间 。 计 算 机 病毒 的 传播 和 攻击 方式 的 变化 .也 促使 我 们 不 断 调 整 防 范 计算 
机 病毒 的 策略 ,提升 和 完善 计算 机 反 病 毒 技术 .以 对 抗 计算 机 病毒 的 危害 。 


10.1.1 病毒 及 其 特征 


1. 病毒 的 概念 

计算 机 病毒 是 一 种 人 为 编制 的 能够 对 计算 机 正常 程序 的 执行 或 数据 文件 造成 破坏 ,并 
且 能 够 自我 复制 的 一 组 指令 程序 代码 。 计 算 机 病毒 具有 以 下 特征 : 

(1) 传染 性 。 病 毒 通 过 各 种 渠道 从 已 被 感染 的 计算 机 扩散 到 未 被 感染 的 计算 机 。 病 毒 
程序 一 旦 进入 计算 机 并 得 以 执行 ,就 会 寻找 符合 感染 条 件 的 目标 ,将 其 感染 ,达到 自我 繁殖 
的 目的 。 所 谓 “ 感 染 ”, 就 是 病毒 将 自身 嵌入 到 合法 程序 的 指令 序列 中 ,致使 执行 合法 程序 的 
操作 会 招致 病毒 程序 的 共同 执行 或 以 病毒 程序 的 执行 取而代之 。 因 此 ,只 要 一 台 计 算 机 染 
上 病毒 ,如 不 及 时 处 理 , 那 么 病毒 会 在 这 台 机 子 上 迅速 扩散 ,其 中 的 大 量 文件 (一 般 是 可 执行 
文件 ) 就 会 被 感染 。 而 被 感染 的 文件 又 成 了 新 的 传染 源 ,再 与 其 他 机 器 进行 数据 交换 或 通过 
网 络 接触 ,病毒 会 继续 传染 。 病 毒 通过 各 种 可 能 的 渠道 ,如 可 移动 存储 介质 (如 U 盘 ) .计算 
机 网 络 去 传染 其 他 计算 机 。 往 往 曾 在 一 台 染 毒 的 计算 机 上 用 过 的 U 盘 已 感染 上 了 病毒 ,与 
这 台 机 器 联网 的 其 他 计算 机 也 许 也 被 染 上 病毒 了 。 传 染 性 是 病毒 的 基本 特征 。 

(2) 隐蔽 性。 病毒 一 般 是 具有 很 高 编程 技巧 的 、 短 小 精 悍 的 一 段 代 码 , 躲 在 合法 程序 当 
中 。 如 果 不 经 过 代码 分 析 ,病毒 程序 与 正常 程序 是 不 容易 区 别 开 来 的 。 这 是 病毒 程序 的 隐 
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项 性 。 在 没有 防护 措施 的 情况 下 ,病毒 程序 取得 系统 控制 权 后 ,可 以 在 很 短 的 时 间 里 传染 大 
量 其 他 程序 ,而 且 计算 机 系统 通常 仍 能 正常 运行 ,用 户 不 会 感到 任何 异常 ,好像 计 算 机 内 不 
曾 发 生 过 什么 。 这 是 病毒 传染 的 隐蔽 性 。 

(3) 潜伏 性 。 病 毒 进入 系统 之 后 一 般 不 会 马上 发 作 , 可 以 在 几 周 或 者 几 个 月 其 至 几 年 
内 隐藏 在 合法 程序 中 ,默默 地 进行 传染 扩散 而 不 被 人 发 现 ,潜伏 性 越 好 ,在 系统 中 的 存在 时 
间 就 会 越 长 ,传染 范围 也 就 会 越 大 。 病 毒 的 内 部 有 一 种 触发 机 制 ,不 满足 触发 条 件 时 ,病毒 
除了 传染 外 不 做 什么 破坏 。 一 旦 触发 条 件 得 到 满足 ,病毒 便 开始 表现 ,有 的 只 是 在 屏幕 上 显 
示 信 息 、 图 形 或 特殊 标志 ,有 的 则 执行 破坏 系统 的 操作 ,如 格式 化 磁盘 、 删 除 文件 .加 密 数据 、 
封锁 键盘 .毁坏 系统 等 。 触 发 条 件 可 能 是 预定 时 间或 日 期 .特定 数据 出 现 ,. 特 定 事 件 发 生 等 。 

(4) 多 态 性 。 病 毒 试图 在 每 一 次 感染 时 改变 它 的 形态 ,使 对 它 的 检测 变 得 更 困难 。 一 
个 多 态 病 毒 还 是 原来 的 病毒 ,但 不 能 通过 扫描 特征 字符 串 来 发 现 。 病 毒 代码 的 主要 部 分 相 
同 ,但 表达 方式 发 生 了 变化 ,也 就 是 同一 程序 由 不 同 的 字 节 序列 表示 。 

(5) 破坏 性 。 病 毒 一 旦 被 触发 而 发 作 就 会 造成 系统 或 数据 的 损伤 甚至 毁灭 。 病 毒 都 是 
可 执行 程序 ,而 且 又 必然 要 运行 ,因此 所 有 的 病毒 都 会 降低 计算 机 系统 的 工作 效率 ,占用 系 
统 资源 ,其 侵占 程度 取决 于 病毒 程序 自身 。 病 毒 的 破坏 程度 主要 取决 于 病毒 设计 者 的 目的 ， 
如 果 病 毒 设计 者 的 目的 在 于 彻底 破坏 系统 及 其 数据 ,那么 这 种 病毒 对 于 计算 机 系统 进行 攻 
击 造 成 的 后 果 是 难以 想象 的 , 它 可 以 毁 掉 系统 的 部 分 或 全 部 数据 并 使 之 无 法 恢复 。 虽 然 不 
是 所 有 的 病毒 都 对 系统 产生 及 其 恶劣 的 破坏 作用 .但 有 时 几 种 本 没有 多 大 破坏 作用 的 病毒 
交叉 感染 ,也 会 导致 系统 崩溃 等 重大 恶果 。 

和 生物 病毒 一 样 ,计算 机 病毒 执行 使 自身 能 完美 复制 的 程序 代码 。 通 过 寄居 在 宿主 程 
序 上 ,计算 机 病毒 可 以 暂时 控制 该 计算 机 的 操作 系统 盘 。 没 有 感染 病毒 的 软件 一 经 在 受 染 
机 器 上 使 用 ,就 会 在 新 程序 中 产生 病毒 的 新 拷贝 。 因 此 ,通过 可 信任 用 户 在 不 同 计算 机 间 使 
用 磁盘 或 借助 于 网 络 向 他 人 发 送 文件 ,病毒 是 可 能 从 一 台 计 算 机 传 到 另 一 台 计 算 机 的 。 在 
网 络 环境 下 ,访问 其 他 计算 机 的 某 个 应 用 或 系统 服务 的 功能 ,给 病毒 的 传播 提供 了 一 个 完美 
的 条 件 。 

病毒 程序 可 以 执行 其 他 程序 所 能 执行 的 一 切 功 能 .唯一 不 同 的 是 它 必须 将 自身 附着 在 
其 他 程序 (宿主 程序 ) 上 , 当 运 行 该 宿主 程序 时 ,病毒 也 跟着 悄悄 地 执行 了 。 

在 其 生命 周期 中 ,病毒 一 般 会 经 历 如 下 4 个 阶段 : 

(1) 潜伏 阶段 。 这 一 阶段 的 病毒 处 于 休 眼 状态 ,这 些 病 毒 最 终 会 被 某 些 条 件 ( 如 日 期 、 
某 特定 程序 或 特定 文件 的 出 现 或 内 存 的 容量 超过 一 定 范 围 ) 所 激活 。 并 不 是 所 有 的 病毒 都 

经 历 此 阶段 。 

(2) 传染 阶段 。 病 毒 程序 将 自身 复制 到 其 他 程序 或 磁盘 的 某 个 区 域 上 ,每 个 被 感染 的 
程序 又 因此 包含 了 病毒 的 复制 品 ,从 而 也 就 进入 了 传染 阶段 。 

(3) 触发 阶段 。 病 毒 在 被 激活 后 ,会 执行 某 一 特定 功能 从 而 达到 某 种 既定 的 目的 。 和 
处 于 潜伏 期 的 病毒 一 样 ,触发 阶段 病毒 的 触发 条 件 是 一 些 系 统 事件 ,包括 病毒 复制 自身 的 
次 数 。 

(4) 发 作 阶段 。 病 毒 在 触发 条 件 成 熟 时 ,. 即 可 在 系统 中 发 作 。 由 病毒 发 作 体现 出 来 的 
破坏 程度 是 不 同 的 : 有 些 是 无 害 的 ,如 在 屏幕 上 显示 一 些 干扰 信息 ; 有 些 则 会 给 系统 带 来 
巨大 的 危害 ,如 破坏 程序 以 及 文件 中 的 数据 。 
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现 有 的 比较 典型 的 病毒 可 以 分 成 下 面 几 个 类 别 : 

(1) 寄生 性 病毒 。 这 是 一 种 比较 传统 但 仍然 常见 的 病毒 。 寄 生性 病毒 将 自身 附着 在 可 
执行 文件 上 并 对 自身 进行 复制 。 当 受 染 文 件 被 执行 后 . 它 又 会 继续 寻找 其 他 的 可 执行 文件 
并 对 其 进行 感染 。 

(2) 常 驻 存 储 器 病毒 。 这 种 病毒 以 常 驻 系统 的 程序 的 形式 寄居 在 主 存储 器 上 ,从 这 点 
看 ,这 类 病毒 会 感染 所 有 执行 的 程序 。 

(3) 攻击 引导 肩 区 病毒 。 此 类 型 的 病毒 感染 主 引导 记录 或 引导 记录 ,在 系统 从 含有 病 
毒 的 磁盘 上 引导 装 人 程序 时 进行 传播 。 

(4) 隐藏 性 病毒 。 设 计 这 种 病毒 的 目的 就 是 为 了 躲避 反 病 毒 软 件 的 检测 。 例 如 ,将 受 
染 文件 压缩 ,使 其 长 度 恰好 等 于 未 感染 时 的 长 度 ; 或 者 在 磁盘 的 输入 /输出 例 行 程序 上 放置 
中 途 拦截 逻辑 ,一 旦 用 户 通过 例 程 试图 访问 磁盘 中 的 可 疑 部 分 , 它 就 会 将 原始 的 未 感染 病毒 
的 程序 呈现 到 用 户 面 前 。 

(5) 多 态 性 病毒 。 这 种 病毒 在 每 次 感染 时 , 放 入 宿主 程序 的 代码 互 不 相同 ,不 断 变化 , 因 
此 采用 特征 代码 法 的 检测 工具 是 不 能 识别 它们 的 。 为 了 实现 这 种 变化 ,必须 在 病毒 程序 中 插 
人 一 些 附 加 指令 或 改变 程序 代码 的 组 合 方式 。 一 个 很 有 效 的 方法 就 是 对 病毒 程序 进行 加 密 。 

(6) 变形 病毒 。 就 像 多 态 性 病毒 一 样 , 它 在 每 次 感染 时 都 会 发 生变 异 , 但 不 同 之 处 在 
于 , 它 在 每 次 感染 的 时 候 会 将 自己 的 代码 完全 重 写 一 遍 , 增 加 了 检测 的 困难 ,并 且 其 行为 也 
可 能 发 生变 化 。 

2. 蠕虫 病毒 

蠕虫 是 一 种 结合 黑客 技术 和 计算 机 病毒 技术 .利用 系统 漏洞 和 应 用 软件 的 漏洞 进行 传 
播 , 通 过 复制 自身 将 恶意 病毒 传播 出 去 的 程序 代码 。 网 络 蠕虫 病毒 显示 出 类 似 于 计算 机 病 
毒 的 一 些 特征 , 它 同 样 也 具有 4 个 阶段 . 即 潜伏 阶段 、 传 染 阶 段 、 触 发 阶段 和 发 作 阶段 。 但 本 
质 上 蠕虫 与 普通 病毒 还 是 有 许多 不 同 之 处 ,如 表 10-1 所 示 。 


表 10-1 蠕虫 与 病毒 的 比较 


比较 对 象 里 里 普通 病毒 
存在 形式 独立 程序 寄生 

触发 机 制 自动 执行 用 户 激 活 

复制 方式 复制 自身 插入 宿主 程序 
搜索 机 制 扫描 网 络 IP 扫描 本 地 文件 系统 
破坏 对 象 网 络 本 地 文件 系统 

用 户 参 与 不 需要 需要 


就 存在 形式 而 言 ,蠕虫 不 需要 寄生 到 宿主 文件 中 , 它 是 一 个 独立 的 程序 。 而 普通 病毒 需 
要 宿主 文件 的 介入 ,其 主要 目的 就 是 破坏 文件 系统 。 

就 触发 机 制 而 言 ,蠕虫 代码 不 需要 计算 机 用 户 的 干预 就 能 自动 执行 。 一 旦 蠕虫 程序 成 
功 入 侵 一 台 主 机 , 它 就 会 按 预 先 设 定好 的 程序 自动 执行 。 而 普通 病毒 代码 的 运行 , 则 需要 用 
户 的 激活 。 只 有 用 户 进 行 了 某 个 操作 , 才 会 触发 病毒 的 执行 。 

就 复制 方式 而 言 ,蠕虫 完全 依靠 自身 来 传播 , 它 通过 自身 的 复制 将 蠕虫 代码 传播 给 扫描 
到 的 目标 对 象 。 而 普通 病毒 需要 将 自身 庶 入 到 宿主 程序 中 ,等待 用 户 的 激活 。 
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就 搜索 机 制 而 言 ,蠕虫 搜索 的 是 网 络 中 存在 某 种 漏洞 的 主机 。 普 通病 毒 则 只 会 针对 本 
地 上 的 文件 进行 搜索 并 传染 ,其 破坏 力 相 当 有 限 。 也 正 是 由 于 蠕虫 的 这 种 搜索 机 制导 致 了 
蠕虫 的 破坏 范围 远 远大 于 普通 病毒 。 

就 破坏 对 象 而 言 ,蠕虫 的 破坏 对 象 主要 是 整个 网 络 。 蠕 虫 造 成 的 最 显著 破坏 就 是 造成 
网 络 的 拥塞 。 而 普通 病毒 的 攻击 对 象 则 是 主机 的 文件 系统 ,删除 或 修改 攻击 对 象 的 文件 信 
息 , 甚 破坏 力 是 局 部 的 、 个 体 的 。 

任何 蠕虫 在 传播 过 程 中 都 要 经 历 如 下 三 个 过 程 : 首先 ,探测 存在 漏洞 的 主机 ; 其 次 , 攻 
击 探测 到 的 脆弱 主机 ; 最 后 ,获取 蠕虫 副本 .并 在 本 机 上 激活 它 。 因 此 ,蠕虫 代码 的 功能 模 
块 至 少 需 包含 扫描 模块 .攻击 模块 和 复制 模块 三 个 部 分 。 

蠕虫 的 扫描 功能 模块 负责 探测 网 络 中 存在 漏洞 的 主机 。 当 程序 向 某 个 主机 发 送 探测 漏 
洞 的 信息 并 收 到 成 功 的 反馈 信息 后 ,就 得 到 一 个 可 传播 的 对 象 。 对 于 不 同 的 漏洞 需要 发 送 
不 同 的 探测 包 进 行 扫描 探测 。 

攻击 模块 针对 扫描 到 的 目标 主机 的 漏洞 或 缺陷 .采取 相应 的 技术 攻击 主机 ,直到 获得 主 
机 的 管理 员 权 限 。 利 用 获得 的 权限 在 主机 上 安装 后 门 、 跳 板 、 监 视 器 ,控制 端 等 ,最 后 清除 
日 志 。 

攻击 成 功 后 ,复制 模块 就 负责 将 蠕虫 代码 自身 复制 并 传输 给 目标 主机 。 复 制 的 过 程 实 
际 上 就 是 一 个 网 络 文件 的 传输 过 程 。 复 制 过程 也 有 很 多 种 方法 ,可 以 利用 系统 本 身 的 程序 
实现 ,也 可 以 用 蠕虫 自 带 的 程序 实现 。 从 技术 上 看 ,由 于 蠕虫 已 经 取得 了 目标 主机 的 控制 权 
限 , 所 以 很 多 蠕虫 都 倾向 于 利用 系统 本 身 提供 的 程序 来 完成 自我 复制 ,这样 可 以 有 效 地 减少 
蠕虫 程序 本 身 的 大 小 。 

蠕虫 病毒 具有 如 下 的 技术 特性 : 

(1) 跨 平台 。 蠕 虫 并 不 仅仅 局 限于 Windows 平台 , 它 也 攻击 其 他 的 一 些 平台 ,如 流行 
的 UNIX 平台 的 各 种 版 本 。 

(2) 多 种 攻击 手段 。 新 的 蠕虫 病毒 有 多 种 手段 来 渗入 系统 .例如 利用 Web 服务 器 、 浏 
览 器 .电子 邮件 .文件 共享 和 其 他 基于 网 络 的 应 用 。 

(3) 极 快 的 传播 速度 。 一 种 加 快 蠕虫 传播 速度 的 手段 是 , 先 对 网 络 上 有 漏洞 的 主机 进 
行 扫描 ,并 获得 其 IP 地 址 。 

(4) 多 态 性 。 为 了 躲避 检测 .过滤 和 实时 分 析 ,蠕虫 采取 了 多 态 技术 。 每 个 蠕虫 的 病毒 
都 可 以 产生 新 的 功能 相近 的 代码 并 使 用 密码 技术 。 

(5) 可 变形 性 。 除 了 改变 其 表象 .可 变形 性 病毒 在 其 复制 的 过 程 中 通过 其 自身 的 一 套 
行为 模式 指令 系统 ,从 而 表现 出 不 同 的 行为 。 

(6) 传输 载体 。 由 于 蠕虫 病毒 可 以 再 短 时 间 内 能 感染 大 量 的 系统 ,因此 它 是 传播 分 布 
式 攻击 工具 的 一 个 良好 的 载体 .例如 分 布 式 拒绝 服务 攻击 中 的 僵尸 程序 。 

(7) 零 时 间 探 测 利用 。 为 了 达到 最 大 的 突然 性 和 分 布 性 ,蠕虫 在 其 进入 到 网 络 上 时 就 
应 立即 探测 仅 由 特定 组 织 所 掌握 的 漏洞 。 


10.1.2 计算 机 病毒 防治 


病毒 的 防治 技术 分 为 “ 防 ? 和 ”* 治 ?两 部 分 “防毒 技术 包括 预防 技术 和 免疫 技术 ;“ 治 ” 
毒 技术 包括 检查 技术 和 消除 技术 。 
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1. 病毒 预防 技术 
病毒 预防 是 指 在 病毒 尚未 人 侵 或 刚刚 入 侵 还 未 发 作 时 ,就 进行 拦截 阻击 或 立即 报警 。 
要 做 到 这 一 点 ,首先 要 清楚 病毒 的 传播 途径 和 寄生 场所 .然后 对 可 能 的 传播 途径 严 加 防守 ， 
对 可 能 的 寄生 场所 实时 监控 ,达到 封锁 病毒 人 口 杜绝 病毒 载体 的 目的 。 不管 是 传播 途径 的 
防守 还 是 寄生 场所 的 监控 ,都 需要 一 定 得 检测 技术 手段 来 识别 病毒 。 
病毒 的 传播 途径 和 寄生 场所 都 是 实施 病毒 预防 措施 的 对 象 。 
1) 病毒 的 传播 途径 及 其 预防 措施 
(1) 不 可 移动 的 计算 机 硬件 设备 ,包括 ROM 芯片 .专用 ASIC 芯片 和 硬盘 等 。 目 前 的 
个 人 计算 机 主板 上 分 离 元 器 件 和 小 芯片 很 少 ,主要 靠 几 块 大 芯片 , 除 CPU 外 其 余 的 大 芯片 
都 是 ASIC 芯片 。 利 用 先进 的 集成 电路 工艺 ,在 芯片 内 可 制作 大 量 的 单元 电路 ,集成 各 种 复 
杂 的 电路 。 这 种 芯片 带 有 加 密 功 能 ,除了 知道 密码 的 设计 者 外 , 写 在 芯片 中 的 指令 代码 没 人 
能 够 知道 。 如 果 将 隐藏 有 病毒 代码 的 芯片 安装 在 敌对 方 的 计算 机 中 ,通过 某 种 控制 信号 激 
活 病毒 ,就 可 以 对 敌手 实施 出 乎 意料 的 、 措 手 不 及 的 打击 。 这 种 新 一 代 的 电子 战 、 信 息 战 的 
手段 已 经 不 是 幻想 。 在 1991 年 的 海湾 战争 中 ,美军 对 伊拉克 部 队 的 计算 机 防御 系统 实施 病 
毒 攻 击 ,成 功 地 使 该 系统 一 半 以 上 的 计算 机 染 上 病毒 .遭受 破坏 。 这 种 病毒 程序 具有 很 强 的 
隐蔽 性 、 传 染 性 和 破坏 性 ; 在 没有 收 到 指令 时 会 静 静 地 隐藏 在 专用 芯片 中 , 极 不 容易 发 现 ; 
一 旦 接 到 指令 , 便 会 发 作 ,不 断 扩 散 和 破坏 。 这 种 传播 途径 的 病毒 很 难 遇 到 ,目前 尚 没 有 较 
好 的 发 现 手 段 。 
具体 预防 措施 包括 : 
。 对 于 新 购置 的 计算 机 系统 用 检测 病毒 软件 或 其 他 病毒 检测 手段 (包括 人 工 检测 方 
法 ) 检 查 已 知 病毒 和 未 知 病毒 .并 经 过 实验 ,证 实 没 有 病毒 感染 和 破坏 迹象 后 再 实际 
使 用 。 

。 对 于 新 购置 的 硬盘 可 以 进行 病毒 检测 ,更 保险 起 见 也 可 以 进行 低级 格式 化 。 注 意 ， 
对 硬盘 只 做 DOS 的 格式 化 操作 不 能 除去 主 引导 区 中 的 病毒 。 

(2) 可 移动 的 存储 介质 设备 ,包括 软盘 、 磁 带 、 光 盘 以 及 可 移动 式 硬盘 。 

具体 预防 措施 包括 以 下 几 项 : 

。 在 保证 硬盘 无 病毒 的 情况 下 .尽量 用 硬盘 启动 计算 机 。 注 意 ,即使 不 是 系统 盘 , 染 毒 

的 数据 磁盘 也 会 将 病毒 带 入 系统 。 

。 尽量 将 程序 文件 和 数据 文件 分 开 存放 在 不 同 的 存储 介质 中 。 

。 建立 封闭 的 使 用 环境 . 即 做 到 专机 、 专 人 、 专 盘 和 专用 。 如 果 通 过 U 盘 等 与 外 界 交 
互 ,不 管 是 自己 的 UU 盘 在 别人 机 器 上 用 过 .还 是 别人 的 UU 盘 在 自己 的 机 器 上 使 用 ， 
都 要 进行 病毒 检测 。 

。 任何 情况 下 ,保留 一 张 系统 启动 光盘 。 一 旦 系统 出 现 故障 ,不 管 是 因为 染 毒 或 是 其 
他 原因 ,就 可 用 于 恢复 系统 。 

(3) 计算 机 网 络 , 包 括 局 域 网 、 城 域 网 .广域网 ,特别 是 Internet。 各 种 网 络 应 用 (如 
E-mail .FTP、Web 等 ) 使 得 网 络 途径 更 为 多 样 和 便捷 。 计 算 机 网 络 是 病毒 目前 传播 最 快 、 最 
广 的 途径 ,由 此 造成 的 危害 蔓延 最 快 . 数 量 最 大 。 从 1988 年 的 Morris 蠕虫 开 始 ,席卷 全 球 
的 网 络 蠕虫 事件 一 浪 接 一 浪 , 愈 演 愈 烈 。 

具体 预防 措施 包括 以 下 几 项 : 
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@ 采取 各 种 措施 保证 网 络 服务 器 上 的 系统 .应 用 程序 和 用 户 数据 没有 染 毒 ,如 坚持 用 
硬盘 引导 启动 系统 ,经 常 对 服务 器 进行 病毒 检查 等 。 
@ 将 网 络 服务 器 的 整个 文件 系统 划分 成 多 卷 文件 系统 ,各 卷 分 别 为 系统 、 应 用 程序 和 
用 户 数据 所 独占 , 即 划 分 为 系统 卷 、 应 用 程序 卷 和 用 户 数 据 卷 。 这 样 各 卷 的 损伤 和 恢复 是 相 
互 独立 的 ,十 分 有 利于 网 络 服务 器 的 稳定 运行 和 用 户 数据 的 安全 保障 。 
@) 除 网 络 系统 管理 员外 ,系统 卷 和 应 用 程序 卷 对 其 他 用 户 设置 的 权限 不 要 大 于 只 读 ， 
以 防止 一 般 用 户 的 写 操作 带 进 病 毒 。 
@ 系统 管理 员 要 对 网 络 内 的 共享 区 域 , 如 电子 邮件 系统 .共享 存储 区 和 用 户 数 据 卷 进 
行 病毒 扫描 监控 ,发 现 异常 及 时 处 理 , 防 止 在 网 上 扩散 。 
@ 在 应 用 程序 卷 中 提供 最 新 的 病毒 防治 软件 ,为 用 户 下 载 使 用 。 
@ 严格 管理 系统 管理 员 的 口令 .为 了 防止 泄露 应 定期 或 不 定期 地 进行 更 换 , 以 防 非法 
入 侵 带 来 病毒 感染 。 
@ 由 于 不 能 保证 网 络 ,特别 是 Internet 上 的 在 线 计 算 机 百分之百 地 不 受 病毒 感染 ,所 
以 ,一 旦 某 台 计算 机 出 现 染 毒 迹象 ,应 立即 隔离 并 进行 排毒 处 理 , 防 止 它 通过 网 络 传染 给 其 
他 计算 机 。 同 时 ,密切 观察 网 络 及 网 络 上 的 计算 机 状况 ,以 确定 是 否 已 被 病毒 感染 。 如 果 网 
络 已 被 感染 ,应 马上 采取 进一步 的 隔离 和 排毒 措施 , 尽 可 能 地 阻止 传播 。 减 小 传播 范围 。 
@@ 网 络 是 蠕虫 传播 的 最 重要 途径 ,尤其 通过 电子 邮件 传播 。 为 了 预防 和 减少 邮件 蠕虫 
病毒 的 危害 ,可 采取 如 下 方法 : 
。 设 定 邮 件 的 路 径 在 C 分 区 以 外 ,因为 C 分 区 是 病毒 攻击 频率 最 高 的 地 方 , 这 样 既 可 
减轻 对 C 分 区 的 病毒 攻击 ,也 可 减少 系统 在 受到 病毒 攻击 时 所 造成 的 损失 。 
。 收 到 新 邮件 后 ,尽量 使 用 “另存 为 ”选项 为 邮件 做 备份 ,分 类 存储 .避免 在 同一 根 目录 
下 放 全 部 邮件 。 这 样 做 还 方便 管理 和 查阅 。 
。 在 “通讯 短 ” 尽 量 不 要 设置 太 多 的 名 单 , 如 果 要 发 送 新 邮件 ,可 以 进入 邮件 的 存储 目 
录 , 打 开 客 户 发 来 的 邮件 ,利用 “回复 ”功能 来 发 送 新 邮件 (删除 原 有 内 容 即 可 ); 如 
果 客 户 较 多 ,可 建立 一 个 文本 文件 存放 所 有 客户 的 邮件 地 址 ,要 发 新 邮件 时 ,利用 
“粘贴 ”功能 把 客户 邮件 地 址 复制 到 “ 收 件 人 ” 栏 中 去 。 这 样 能 够 有 效 地 防止 邮件 里 
虫 病毒 通过 “通讯 短 ” 的 进一步 传播 。 
。 遇 到 可 执行 文件 (* .EXE、*.COM) 或 有 宏 功能 文档 (* .DOC 等 ) 的 附件 ,不 要 打 
开 , 先 存储 到 到 磁盘 上 ,用 病毒 防治 软件 先进 行 检 查 和 杀毒 后 再 使 用 。 
(4) 点 对 点 通信 系统 , 指 两 台 计 算 机 之 间 通 过 串 行 / 并 行 接口 :或 者 使 用 调制 解 调 器 经 
过 电话 网 进行 数据 交换 。 
具体 预防 措施 为 ,通信 之 前 对 两 台 计 算 机 进行 病毒 检查 ,确保 没有 病毒 感染 。 
(5) 无 线 通 信和 网 ,作为 未 来 网 络 的 发 展 方向 ,无 线 通 信和 网 会 越 来 越 普及 .同时 也 将 会 成 
为 与 计算 机 网 络 并 驾 齐 驱 的 病毒 传播 途径 。 
具体 预防 措施 可 参照 计算 机 网 络 的 预防 措施 。 
2) 病毒 的 寄生 场所 及 其 预防 措施 
(1) 引导 扇 区 , 即 软盘 的 第 一 物理 扇 区 或 硬盘 的 第 一 逻辑 扇 区 ,是 引导 型 病毒 寄生 的 地 方 。 
具体 预防 措施 为 ,用 Bootsafe 等 使 用 工具 或 DEBUG 编程 等 方法 对 干净 的 引导 扇 区 进 
行 备份 。 备 份 即 可 用 于 监控 ,又 可 用 于 系统 恢复 。 监 控 是 比较 当前 引导 扇 区 的 内 容 和 干净 
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的 备份 ,如 果 发 现 不 同 , 则 很 可 能 是 感染 了 病毒 。 
(2) 计算 机 文件 ,包括 可 执行 的 程序 文件 .含有 宏 命 令 的 数据 文件 ,是 文件 型 病毒 寄生 
的 地 方 。 
具体 预防 措施 为 包括 以 下 几 项 : 
。 检查 .COM 和 .EXE 可 执行 文件 的 内 容 、 长 度 、 属 性 等 ,判断 是 否 感 染 了 病毒 。 重 点 
检查 可 执行 文件 的 头 部 (前 20 个 字 节 左右 ), 因 为 病毒 主要 改写 文件 的 起 始 部 分 。 
病毒 代码 可 能 就 在 文件 头 部 ,即使 在 文件 尾部 或 其 他 地 方 ,文件 头 部 中 也 必 有 一 条 
跳 转 指令 指向 病毒 代码 。 
。 对 于 新 购置 的 计算 机 软件 要 进行 病毒 检测 。 
。 定期 与 不 定期 地 进行 文件 的 备份 。 备 份 既 可 通过 比较 发 现 病毒 ,又 可 用 作 灾 难 
恢复 。 
。 为 了 预防 宏 病毒 ,将 含有 宏 命令 的 模板 文件 ,如 常用 Word 模板 文件 改 为 只 读 属 性 ， 
可 预防 Word 系统 被 感染 ,DOS 系统 下 的 autoexec. bat 和 config. sys 文件 最 好 也 都 
设 为 只 读 属 性 文件 。 将 自动 执行 宏 功 能 禁止 掉 , 这 样 即 使 有 宏 病 毒 存 在 ,但 无 法 激 
活 , 能 起 到 防止 病毒 发 作 的 效果 。 
(3) 内 存 空 间 ,病毒 在 传染 或 执行 时 ,必然 要 占用 一 定 得 内 存 空 间 , 并 驻 留 在 内 存 中 ,等 
待 时 机 再 进行 传染 或 攻击 。 
具体 预防 措施 为 ,采用 PCTOOLS、DEBUG 等 软件 工具 ,检查 内 存 的 大 小 和 内 存 中 的 
数据 来 判断 是 否 有 病毒 进入 。 
病毒 驻 留 内 存 后 ,为 了 防止 被 系统 覆盖 ,通常 要 修改 内 存 控制 块 中 的 数据 。 如 果 检 查 出 
来 的 内 存 可 用 空间 为 635KB, 而 真正 配置 的 内 存 空间 为 640KB, 则 说 明 有 5KB 内 存 空间 被 
病毒 侵占 。 
系统 一 些 重要 的 数据 和 程序 放 在 内 存 的 固定 位 置 . 如 DOS 系统 启动 后 ,BIOS 变量. 设 
备 驱动 程序 等 放 在 内 存 的 0:4000H 一 0:4FFoH 区 域内 ,可 以 首先 检查 这 些 地 方 是 否 有 
异常 。 
(4) 文件 分 配 表 (FAT) .病毒 隐藏 在 磁盘 上 时 ,一 般 要 对 存放 的 位 置 做 出 “ 坏 艇 ”标识 反 
映 在 FAT 表 中 。 
具体 预防 措施 为 ,检查 FAT 表 有 无 意外 坏 簇 来 判断 是 否 感染 了 病毒 。 
(5) 中 断 向 量 ,病毒 程序 一 般 采 用 中 断 的 方式 来 执行 . 即 修改 中 断 变 量 ,使 系统 在 适当 
的 时 候 转 向 执行 病毒 程序 ,在 病毒 程序 完成 传染 或 破坏 目的 后 ,再 转 回 执行 原来 的 中 断 处 理 
程序 。 
具体 的 预防 措施 为 ,检查 中 断 向 量 有 无 变化 来 确定 是 否 感染 了 病毒 。 
2. 病毒 免疫 技术 
病毒 具有 传染 性 。 一 般 情况 下 ,病毒 程序 在 传染 完 一 个 对 象 后 .都 要 给 被 传染 对 象 加 上 
感染 标记 。 传 染 条 件 的 判断 就 是 检测 被 攻击 对 象 是 否 存在 这 种 标记 .车 存在 这 种 标记 , 则 病 
毒 程序 不 对 该 对 象 进行 传染 ; 若 不 存在 这 种 标记 ,病毒 程序 就 对 该 对 象 实施 传染 。 
最 初 的 病毒 免疫 技术 就 是 利用 病毒 传染 这 一 机 理 , 给 正常 对 象 加 上 这 种 标记 后 ,使 之 具 
有 人 免疫 力 ,从 而 不 受 病毒 的 传染 。 因 此 , 当 感 染 标 记 用 作 人 免疫 时 ,也 叫做 免疫 标记 。 例 如 ,使 
用 这 种 技术 可 有 效 地 防御 香港 病毒 .1575 病毒 等 。 
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然而 ,有 些 病毒 在 传染 时 不 判断 是 否 存 在 感染 标记 ,病毒 只 要 找到 一 个 可 传染 对 象 就 进 
行 一 次 传染 。 就 像 黑 色 星 期 五 病毒 那样 ,一 个 文件 可 能 被 该 病毒 反复 传染 多 次 ,滚雪球 一 样 
越 滚 越 大 。 其 实 , 黑 色 星 期 五 病毒 的 程序 中 具有 判别 感染 标记 的 代码 ,由 于 程序 设计 错误 ， 
使 判断 失效 ,形成 现在 的 情况 ,对 文件 会 反复 感染 ,感染 标记 形同虚设 。 

目前 ,常用 的 病毒 免疫 方法 有 两 种 。 

1) 针对 某 一 种 病毒 进行 的 免疫 方法 

例如 ,对 小 球 病毒 ,在 DOS 引导 扇 区 的 1FCH 处 填 上 1357H ,小 球 病毒 一 检查 到 这 个 
标记 就 不 再 对 它 进 行 传染 了 。 又 如 ,对 于 1575 文件 型 病毒 ,免疫 标记 是 文件 尾 的 内 容 为 
0CH 和 0AH 的 两 个 字 节 ,1575 病毒 车 发 现 文 件 尾 含有 这 两 个 字 节 , 则 不 进行 传染 。 

这 种 方法 对 防止 某 一 种 特定 病毒 的 传染 行 之 有 效 , 但 也 存在 一 些 缺 点 ,主要 有 以 下 
= 

(1) 对 于 不 设 有 感染 标记 的 病毒 不 能 达到 免疫 的 目的 ,这 种 病毒 会 无 条 件 传染 ,而 不 论 
被 传染 对 象 是 否 已 经 被 感染 过 或 者 是 否 具 有 感染 标记 。 

(2) 当 某 种 病毒 的 变种 不 再 使 用 其 感染 标记 时 ,或 出 现 新 病毒 时 , 现 有 免疫 标记 就 发 挥 
不 了 作用 。 

(3) 一 些 病毒 的 感染 标记 不 容易 仿制 ,如 非 要 加 上 这 种 标记 不 可 , 则 对 原来 的 文件 要 做 
大 的 改动 。 例 如 ,对 大 麻 病 毒 就 不 容易 做 免疫 标记 。 

(4) 由 于 病毒 的 种 类 较 多 ,又 由 于 技术 上 的 原因 ,不 可 能 对 一 个 对 象 加 上 各 种 病毒 的 免 
疫 标记 ,这 就 使 得 该 对 象 不 能 对 所 有 的 病毒 具有 免疫 作用 。 

(5) 这 种 方法 能 阻止 传染 , 却 不 能 阻止 病毒 的 破坏 行为 ,仍然 放任 病毒 驻 留 在 内 存 中 。 

目前 使 用 这 种 免疫 方法 的 商品 化 防治 病毒 软件 已 不 多 见 了 。 

2) 基于 自我 完整 性 检查 的 免疫 方法 

目前 ,这 种 方法 只 能 用 于 文件 而 不 能 用 于 引导 扇 区 。 这 种 方法 的 工作 原理 是 ,为 可 执行 
程序 增加 一 个 免疫 外 壳 , 同 时 在 免疫 外 壳 中 记录 有 关 用 于 恢复 自身 的 信息 。 免 疫 外 壳 占 
1 一 3KB。 执 行 具有 这 种 免疫 功能 的 程序 时 ,免疫 外 壳 首 先 得 到 运行 .检查 自身 的 程序 大 小 、 
校 验 和 、 生 成 日 期 和 时 间 等 情况 ,没有 发 现 异 常 后 ,再 转 去 执行 受 保护 的 程序 。 若 不 论 什么 
原因 使 这 些 程序 本 身 的 特性 受到 改变 或 破坏 .免疫 外 壳 都 可 以 检查 出 来 ,并 发 生 告警 ,由 用 
户 选择 应 采取 的 措施 .包括 自 毁 .重新 引导 启动 计算 机 、 自 我 恢复 后 继续 运行 。 这 种 免疫 方 
法 是 一 种 通用 的 自我 完整 性 检验 方法 , 它 不 只 是 针对 病毒 ,由 于 其 他 原因 造成 的 文件 变化 同 
样 能 够 检查 出 来 ,在 大 多 数 情 况 下 免疫 外 过 程序 都 能 使 文件 自身 得 到 复原 。 

但 这 种 免疫 方法 也 有 其 缺点 和 不 足 ,归纳 如 下 : 

Q@ 每 个 受到 保护 的 文件 都 要 增加 1 一 3KB, 需 要 额外 的 存储 空间 。 

@ 现在 使 用 的 一 些 校 验 码 算 法 不 能 满足 检测 病毒 的 需要 ,被 某 些 种 类 的 病毒 感染 的 文 
件 不 能 被 检查 出 来 。 

@ 无 法 对 付 覆 盖 式 的 文件 型 病毒 。 

@ 有 些 类 型 的 文件 不 能 使 用 外 加 免疫 外 壳 的 防护 方法 ,这 样 会 使 那些 文件 不 能 正常 执行 。 

@@ 当 某 些 尚 不 能 被 病毒 检测 软件 检查 出 来 的 病毒 感染 了 一 个 文件 ,而 该 文件 又 被 免疫 
外 壳 包 在 里 面 时 ,这 个 病毒 就 像 穿 了 “保护 盔甲 ”使 查 毒 软件 查 不 到 它 , 而 它 却 能 在 得 到 运 
行 机 会 时 跑 出 来 继续 传染 扩散 。 
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尽管 尚 不 存在 完美 和 通用 的 病毒 免疫 方法 ,但 它 在 病毒 防御 措施 中 仍 占 一 席 之 地 。 

3. 病毒 检测 技术 

病毒 检测 就 是 采用 各 种 检测 方法 将 病毒 识别 出 来 。 识 别 病毒 包括 对 已 知 病毒 的 识别 和 
对 未 知 病毒 的 识别 。 目 前 ,对 已 知 病毒 的 识别 主要 采用 特征 判定 技术 , 即 静 态 判 定 技术 ,对 
未 知 病毒 的 识别 出 了 特征 判定 技术 外 ,还 有 行为 判定 技术 , 即 动态 判定 技术 。 

1) 特征 判定 技术 

特征 判定 技术 是 根据 病毒 程序 的 特征 ,如 感染 标记 、 特 征程 序 段 内 容 、 文 件 长 度 变 化 、 文 
件 校 验 和 变化 等 ,对 病毒 进行 分 类 处 理 , 而 后 在 程序 运行 中 凡 有 类 似 的 特征 点 出 现 , 则 认定 
是 病毒 。 

特征 判定 技术 主要 有 以 下 几 种 方法 : 

(1) 比较 法 。 比 较 法 的 工作 原理 是 ,将 有 可 能 的 感染 对 象 (引导 扇 区 或 计算 机 文件 ) 与 
其 原始 备份 进行 比较 ,如 果 发 现 不 一 致 则 说 明 有 染 毒 的 可 能 性 。 这 种 比较 法 不 需要 专门 的 
查 毒 程 序 ,用 常规 的 具有 比较 功能 的 (如 PCTOOLS 等 ) 工 具 软 件 就 可 以 进行 。 比 较 法 不 仅 
能 够 发 现 已 知 病毒 ,还 能 够 发 现 未 知 病毒 。 保 留 好 干净 的 原始 备份 对 于 比较 法 非常 重要 ， 
否则 比较 就 失去 了 意义 ,比较 法 也 就 不 起 作用 了 。 

比较 法 的 优点 是 简单 易 行 ,不 需要 专用 查 毒 软 件 , 但 缺点 是 无 法 确认 发 现 的 异常 是 否 真 
是 病毒 ,即使 是 病毒 也 不 能 识别 病毒 的 种 类 和 名 称 。 

(2) 扫描 法 。 也 叫 搜索 法 ,其 工作 原理 是 ,用 每 一 种 病毒 代码 中 含有 的 特定 字符 或 字符 
串 对 被 检测 的 对 象 进行 扫描 ,如 果 在 被 检测 对 象 内 部 发 现 某 一 种 特定 字符 或 字符 串 , 则 表明 
发 现 了 该 字符 或 字符 串 是 病毒 。 前 面 提 到 的 感染 标记 就 是 一 种 识别 病毒 的 特定 字符 。 实 现 
这 种 扫描 的 软件 叫做 特征 扫描 器 。 根 据 扫 描 法 的 工作 原理 ,特征 扫描 器 由 病毒 特征 码 库 和 
扫描 引擎 两 部 分 组 成 。 病 毒 特征 码 库 包含 了 经 过 特别 选 定 的 各 种 病毒 的 反映 其 特征 的 字符 
或 字符 串 。 扫 描 引 擎 利用 病毒 特征 码 库 对 检测 对 象 进行 匹配 性 扫描 ,一 旦 由 匹配 便 发 出 告 
警 。 显 然 , 病 毒 特 征 码 库 中 的 病毒 特征 码 越 多 .扫描 引擎 能 识别 的 病毒 也 就 也 多 。 病 毒 特征 
码 的 选择 非常 重要 ,一 定 要 具有 代表 性 .也 就 是 说 ,在 不 同 环境 下 ,使 用 所 选 的 特征 码 都 能 够 
正确 地 检查 出 它 所 代表 的 病毒 。 如 果 病 毒 特征 码 选择 得 不 准确 .就 会 带 来 误 报 (发 现 的 不 是 
病毒 ) 或 漏 报 (真正 的 病毒 没有 发 现 ) 。 

特征 扫描 器 的 优点 是 能 够 准确 地 查 出 病毒 并 确定 病毒 的 种 类 和 名 称 , 为 消除 病毒 提供 
了 确切 的 信息 ,但 其 缺点 是 只 能 查 出 载 人 病毒 特征 码 库 中 的 已 知 病毒 。 特 征 扫描 器 是 目前 
最 流行 的 病毒 防治 软件 。 随 着 新 病毒 的 不 断 发 现 .病毒 特征 码 库 必须 不 断 丰 富 和 更 新 。 现 
在 绝 大 多 数 的 商业 病毒 防治 软件 商 , 提 供 每 周 甚至 每 天 一 次 的 病毒 特征 码 库 的 在 线 更 新 。 

(3) 校 验 和 法 。 校 验 和 法 的 工作 原理 是 ,计算 机 正常 文件 内 容 的 校 验 和 ,将 该 校 验 和 写 
入 文件 中 或 写 入 别 的 文件 中 保存 。 在 文件 使 用 过 程 中 ,定期 地 或 每 次 使 用 文件 前 ,检查 文件 
当前 内 容 算出 的 校 验 和 与 原来 保存 的 校 验 和 是 否 一 致 ,如 果 不 一 致 便 发 出 染 毒 报警 。 

这 种 方法 既 能 发 现 已 知 病毒 .也 能 发 现 未 知 病毒 ,但 是 . 它 不 能 识别 病毒 种 类 .不 能 报 出 
病毒 名 称 。 由 于 病毒 感染 并 非 文 件 内 容 改 变 的 唯一 的 排他 性 原因 ,文件 内 容 的 改变 有 可 能 
是 正常 程序 引起 的 ,如 软件 版 本 更 新 、 变 更 口令 以 及 修改 运行 参数 等 ,所 以 , 校 验 和 法 常常 有 
虚假 报警 ,而且 此 法 也 会 影响 文件 的 运行 速度 。 另 外 , 校 验 和 法 对 某 些 隐蔽 性 极 好 的 病毒 无 
效 。 这 种 病毒 进驻 内 存 后 ,会 自动 剥 去 染 毒 程序 中 的 病毒 代码 :使 校 验 和 法 受骗 ,对 一 个 有 


216 计算 机 网 络 安全 


毒 文件 算出 正常 校 验 和 。 因 此 , 校 验 和 法 的 优点 是 方法 简单 .能 发 现 未 知 病毒 、 被 查 文件 的 
细微 变化 也 能 发 现 ; 其 缺点 是 必须 预先 记录 正常 态 的 校 验 和 ,会 有 虚假 报警 .不 能 识别 病毒 
名 称 、 不 能 对 付 某 些 隐蔽 性 极 好 的 病毒 。 

(4) 分 析 法 。 分 析 法 是 针对 未 知 的 新 病毒 采用 的 技术 。 工 作 过 程 如 下 : 

。 确认 被 检查 的 磁盘 引导 扇 区 或 计算 机 文件 中 是 否 含有 病毒 。 

。 确认 病毒 的 类 型 和 种 类 ,判断 它 是 否 是 一 种 新 病毒 。 

。 分析 病 毒 程序 的 大 致 结构 .提取 识别 用 的 特征 字符 或 字符 串 , 用 于 添加 到 病毒 特征 

码 库 中 。 

。 分析 病 毒 程序 的 详细 结构 ,为 制定 相应 的 反 病毒 措施 提供 方案 。 

分 析 法 对 使 用 者 的 要 求 很 高 ,不 但 要 具有 和 较 全 面 的 计算 机 及 操作 系统 的 知识 ,还 要 具备 
专业 的 病毒 方面 的 知识 。 一 般 使 用 分 析 法 的 人 不 是 普通 用 户 ,而 是 反 病毒 技术 人 员 。 使 用 
分 析 法 需要 DEBUG .Proview 等 分 析 工 具 程 序 和 专门 的 试验 用 计算 机 。 即 使 是 很 熟练 的 反 
病毒 技术 人 员 ,使 用 功能 完善 的 分 析 软 件 , 也 不 能 保证 在 短 时 间 内 将 病毒 程序 完全 分 析 清 
楚 ,病毒 有 可 能 在 分 析 阶 段 继续 传染 甚至 发 作 ,毁坏 整个 软盘 或 硬盘 内 的 数据 ,因此 ,分析 工 
作 一 定 要 在 专用 的 试验 机 上 进行 。 很 多 病毒 采用 了 自 加 密 和 抗 跟踪 等 技术 ,使 得 分 析 病 毒 
的 工作 经 常 是 完 长 和 枯燥 的 ,特别 是 某 些 文件 型 病毒 的 程序 代码 长 达 10KB 以 上 ,并 与 系统 
牵扯 的 层次 很 深 , 使 详细 的 剖析 工作 变 得 十 分 复杂 。 

2) 行为 判定 技术 

识别 病毒 是 以 病毒 的 机 理 为 基础 ,不 仅 识 别 现 有 病毒 ,而 且 以 现 有 病毒 的 机 理 设 计 出 对 
一 类 病毒 (包括 基于 已 知 病毒 机 理 的 未 来 新 病毒 或 变种 病毒 ) 的 识别 方法 ,其 关键 是 对 病毒 
行为 的 判断 。 行 为 判定 技术 就 是 要 解决 如 何 有 效 辨别 病毒 行为 与 正常 程序 行为 ,其 难点 在 
于 如 何 快 速 , 准 确 、 有 效 地 判断 病毒 行为 。 如 果 处 理 不 当 , 就 会 带 来 虚假 报警 ,就 像 “ 狼 来 了 ” 
的 寓言 一 样 ,频频 虚假 报警 的 后 果 是 报警 不 再 引起 用 户 的 警惕 。 另 外 ,防毒 对 于 不 按 现 有 病 
毒 机 理 设计 得 新 病毒 也 可 能 无 能 为 力 , 如 在 DIR2 病毒 出 现 之 前 推出 的 防 病毒 软件 ,几乎 没 
有 一 个 能 控制 该 病毒 ,原因 就 在 于 该 病毒 的 机 理 已 经 超出 当时 的 防 病毒 软件 所 考虑 的 范围 。 
如 今 ,该 病毒 的 机 理 已 被 人 们 认识 ,所 以 新 推出 的 防 病毒 软件 和 防 病毒 卡 , 几 乎 没有 一 个 不 
能 控制 该 病毒 及 其 变种 病毒 的 。 

行为 监测 法 是 常用 的 行为 判定 技术 .其 工作 原理 是 利用 病毒 的 特有 行为 特征 进行 检测 ， 
一 旦 发 现 病 毒 行为 则 立即 警报 。 经 过 对 病毒 多 年 的 观察 和 研究 .人 们 发 现 病毒 的 一 些 行为 
是 病毒 的 共同 行为 ,而 且 比 较 特殊 。 在 正常 程序 中 ,这 些 行为 比较 罕见 。 监 测 病毒 的 行为 特 
征 列举 如 下 : 

(1) 占用 INT 13H。 引 导 型 病毒 攻击 引导 扇 区 后 ,一般 都 会 占用 INT 13H 功能 ,在 其 
中 放置 病毒 所 需 的 代码 ,因为 其 他 系统 功能 还 未 设置 好 ,无 法 利用 。 

(2) 修改 DOS 系统 数据 区 的 内 存 总 量 。 病 毒 常 驻 内 存 后 ,为 了 防止 DOS 系统 将 其 履 
盖 , 必 须 修 改 内 存 总 量 。 

(3) 向 .COM 和 .EXE 可 执行 文件 做 写 入 动作 。 写 .COM 和 .EXE 文件 是 文件 型 病毒 
的 主要 感染 途径 之 一 。 

(4) 病毒 程序 与 宿主 程序 的 切换 。 染 毒 程序 运行 时 . 先 运 行 病 毒 .而 后 执行 宿主 程序 。 
在 两 者 切换 时 .有 许多 特征 行为 。 
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行为 监测 法 的 长 处 在 于 可 以 相当 准确 地 预报 未 知 的 多 数 病毒 ,但 也 有 其 短处 , 即 可 能 虚 
假 报 警 和 不 能 识别 病毒 名 称 ,而 且 实现 起 来 有 一 定 难 度 。 

不 管 采用 哪 种 判定 技术 ,一 旦 病毒 被 识别 出 来 ,就 可 以 采取 相应 措施 ,阻止 病毒 的 下 列 
行为 : 进入 系统 内 存 、 对 磁盘 操作 尤其 是 写 操 作 、 进 行 网 络 通 信 与 外 界 交 换 信息 。 一 方面 防 
止 外 界 病毒 向 机 内 传染 , 另 一 方面 抑制 机 内 病毒 向 外 传播 。 

4. 病毒 消除 技术 

病毒 消除 的 目的 是 清除 受害 系统 中 的 病毒 ,恢复 系统 的 原始 无 毒 状态 。 具 体 来 讲 , 就 是 
针对 系统 中 的 病毒 寄生 场所 或 感染 对 象 进行 清理 。 对 于 不 同 的 病毒 类 型 及 其 感染 对 象 , 采 
取 不 同 的 杀毒 措施 。 

1) 消除 引导 型 病毒 

引导 型 病毒 的 物理 载体 是 磁盘 ,主要 包括 系统 软盘 、 数 据 软盘 和 硬盘 。 

(1) 修复 染 毒 的 系统 软盘 。 找 一 台 同 样 操作 系统 的 未 染 毒 的 计算 机 ,把 染 毒 的 系统 软 
盘 搬 和 软盘 驱动 器 中 ,从 硬盘 执行 可 以 对 软盘 重新 写 人 系统 的 命令 ,如 DOS 系统 情况 下 的 
SYS A: 命令 。 这 样 软盘 上 的 系统 文件 就 会 被 重新 安装 ,并 且 覆 盖 引 导 扇 区 中 染 毒 的 内 容 ， 
从 而 恢复 成 为 干净 的 系统 软盘 。 

(2) 修复 染 毒 的 数据 软盘 。 把 染 毒 的 数据 软盘 插入 一 台 未 染 毒 的 计算 机 中 ,把 所 有 文 
件 从 软盘 复制 到 硬盘 的 一 个 临时 目录 中 ,用 系统 磁盘 格式 化 命令 ,如 DOS 系统 情况 下 的 
FORMAT A: /UU 命令 ,无 条 件 重新 格式 化 软盘 ,这 样 软盘 的 引导 扇 区 会 被 重 写 , 从 而 清除 
其 中 的 病毒 。 然 后 把 所 有 文件 备份 复制 回 到 软盘 。 

(3) 修复 染 毒 的 硬盘 。 硬 盘 中 操作 系统 的 引导 扇 区 包括 第 一 物理 扇 区 和 第 一 多 辑 扇 
区 。 硬 盘 第 一 物理 扇 区 存放 的 数据 是 主 引 导 记 录 (MBR) ,MBR 包含 表明 硬件 类 型 和 分 区 
信息 的 数据 。 硬 盘 第 一 逻辑 扇 区 存放 的 数据 是 分 区 引导 记录 。 主 引导 记录 和 分 区 引导 记录 
都 有 感染 病毒 的 可 能 性 。 重 新 格式 化 硬盘 可 以 清除 分 区 引导 记录 中 病毒 , 却 不 能 清除 主 引 
导 记 录 中 的 病毒 。 修 复 染 毒 的 主 引导 记录 的 有 效 途径 是 使 用 FDISK 这 种 低级 格式 化 工具 ， 
输入 FDISK/MBR , 便 会 重新 写 人 主 引导 记录 ,覆盖 掉 其 中 的 病毒 。 

以 上 均 是 采用 人 工 方法 清除 引导 型 病毒 。 人 工 方法 要 求 操作 者 对 系统 十 分 熟悉 , 且 操 
作 复 杂 ,容易 出 错 , 有 一 定 的 危险 性 ,一旦 操作 不 慎 就 会 导致 意 想 不 到 的 后 果 。 这 种 方法 常 
用 于 消除 自动 方法 无 法 消除 的 新 病毒 。 

另外 一 种 是 自动 方法 ,针对 某 一 种 或 多 种 病毒 采用 专门 的 病毒 防治 软件 自动 检测 和 消 
除 病毒 。 这 种 方法 不 会 被 破坏 系统 数据 ,操作 简单 .运行 速度 快 . 是 一 种 较为 理想 且 目 前 较 
为 通用 的 病毒 防治 方法 。 

大 多 数 病 毒 防治 软件 能 够 检测 和 清除 已 知 的 引导 型 病毒 。 通 过 监测 磁盘 的 引导 扇 区 ， 
包括 硬盘 的 (MBR) ,可 以 自动 检测 出 病毒 ,并 准确 识别 病毒 ,包括 病毒 的 类 型 和 名 称 ; 然后 
自动 修复 被 感染 的 引导 扇 区 。 

2) 消除 文件 型 病毒 

文件 型 病毒 的 载体 是 计算 机 文件 ,包括 可 执行 的 程序 文件 和 含有 宏 命 令 的 数据 文件 。 

修复 染 毒 的 可 执行 文件 最 有 效 的 方法 是 用 干净 的 备份 代替 它 。 如 果 没 有 备份 ,就 使 用 
病毒 防治 软件 进行 检测 、 杀 毒 并 修复 。 对 于 被 非 履 盖 型 病毒 感染 的 文件 ,病毒 防治 软件 有 可 
能 将 其 修复 ,但 对 于 覆盖 型 病毒 就 无 能 为 力 了 。 
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非 覆 盖 型 病毒 感染 可 执行 时 ,只 是 将 自身 附加 到 感染 对 象 的 头 部 或 尾部 或 其 他 空白 地 
方 ,并 没有 破坏 文件 的 有 效 内 容 , 而 且 必 须 存放 有 关 宿 主 程序 的 特定 信息 ,以 便 自己 执行 完 
后 把 控制 权 交 还 给 原来 的 程序 。 因 此 ,病毒 防治 软件 可 疑 根据 这 一 特定 信息 定位 病毒 ,然后 
“ 顺 芯 摸 瓜 ”, 将 病毒 从 文件 中 “ 切 掉 ”。 

3) 消除 宏 病 毒 

宏 病 毒 是 一 种 文件 型 病毒 ,其 载体 是 含有 宏 命 令 的 和 数据 文件 一 一 文档 或 模版 。 

手工 清除 方法 为 : 

(1) 在 空 文档 的 情况 下 ,打开 宏 菜 单 .在 通用 模板 中 删除 被 认为 是 病毒 的 宏 。 

(2) 打开 带 有 宏 病 毒 的 文档 或 模板 ,然后 打开 宏 菜 单 ,在 通用 模板 和 定制 模板 中 删除 认 
为 是 病毒 的 宏 。 

(3) 保存 清洁 的 文档 或 模板 。 

自动 清除 方法 有 : 

(1) 用 WordBasic 语言 以 Word 模板 方式 编制 杀毒 工具 ,在 Word 环境 中 杀毒 。 这 种 方 
法 杀毒 准确 ,兼容 性 好 。 

Word-VRYV 就 是 采用 这 种 方法 的 典型 杀毒 工具 。Word-VRV 由 WORDVRV. DOT 
(用 于 中 文 版 Word) .EWORD-VRV. DOT( 用 于 英文 版 Word) 和 README. EXE 3 个 文件 
组 成 。Word-VRV 是 个 可 自 升 级 的 Word 杀毒 器 ,可 自动 检测 并 清除 Word 模板 中 的 病毒 。 
Word-VRYV 允许 用 户 通 过 编辑 WORDVRV. DAT 文件 .自我 扩充 新 的 宏 病 毒 特征 ,来 杀 除 
新 的 宏 病 毒 。 

(2) 根据 WordBFF 格式 ,在 Word 环境 外 解剖 病毒 文档 或 模板 .去掉 病 毒 宏 。 由 于 各 个 版 
本 的 WordBFF 格式 都 不 完全 兼容 ,每 次 Word 升级 它 也 必须 跟着 升级 ,兼容 性 不 太 好 。 

4) 消除 蠕虫 病毒 

蠕虫 病毒 式 蠕虫 和 病毒 的 混合 体 . 即 具有 病毒 的 传染 机 制 ,又 具有 蠕虫 的 自我 复制 和 网 
络 传播 机 制 。 消 除 蠕虫 病毒 从 本 机 杀毒 和 网 络 封 锁 两 个 方面 同时 进行 , 才 是 万 全 之 策 。 清 
除了 本 机 病毒 ,就 消灭 了 病毒 源 ; 截获 了 网 络 蠕虫 ,就 切断 了 病毒 的 网 络 传播 途径 。 

(1) 清除 本 机 病毒 。 根 据 病毒 的 感染 对 象 . 采 取 上 述 相应 的 人 工 或 自动 杀毒 方法 。 

(2) 截获 网 络 蠕虫 。 在 网 络 人 出 口 处 ,特别 是 电子 邮件 的 收发 ,采取 人 工 的 或 自动 的 方法 
截获 蠕虫 。 人 工 的 方法 是 ,网 络 管理 员 和 电子 邮件 用 户 . 根 据 蠕 虫 病毒 的 活动 规律 ,主动 识别 
收发 信息 中 的 蠕虫 病毒 ,主要 是 病毒 防治 软件 不 能 识别 的 可 疑 的 或 新 的 蠕虫 病毒 。 自 动 的 方 
法 是 ,在 网 络 入 出 口 处 ,安装 病毒 防治 软件 ,监控 入 出 信息 ,一 旦 发 现 病毒 ,立即 截获 并 消除 。 


10.2 入 侵 检 测 


网 络 系统 面临 的 两 大 安全 威胁 ,一 是 计算 机 病毒 .二 是 非法 入 侵 。 
10.2.1 入 侵 


入 侵 是 指 攻击 者 通过 非法 手段 取得 超出 合法 范围 的 系统 控制 权 和 收集 漏洞 信息 ,造成 
拒绝 服务 访问 等 危害 行为 。 入 侵 行为 不 仅 可 以 来 自 网 络 外 部 .同时 也 可 来 自 内 部 用 户 的 未 
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授权 活动 。 

入 侵 者 分 为 三 类 : 

(1) 假冒 者 。 指 未 经 授权 使 用 计算 机 的 人 和 穿 透 系 统 的 存 取 控制 , 冒 用 合法 用 户 账 号 
的 用 户 。 

(2) 非法 者 。 指 未 经 授权 访问 数据 、 程 序 和 资源 的 合法 用 户 ; 或 者 已 经 获得 授权 访问 ， 
但 是 错误 使 用 权限 的 合法 用 户 。 

(3) 秘密 用 户 。 夺 取 系 统 超级 控制 ,并 使 用 这 种 控制 权 逃 避 审 计 和 访问 控制 ,或 者 抑制 
审计 记录 的 个 人 。 

入 侵 者 的 动机 是 获取 系统 访问 权 或 是 扩大 在 系统 中 的 权限 范围 。 通 常 ,入 侵 者 需要 获 
得 系统 保护 的 信息 。 在 大 多 情况 下 ,这 些 信息 以 用 户口 令 的 形式 存在 。 如 果 知 道 一 些 其 他 
用 户 的 口令 ,入 侵 者 可 以 登录 系统 ,使 用 合法 用 户 的 所 有 权限 。 

系统 通常 保存 一 份 授 权 用 户 和 授权 用 户口 令 的 文件 。 如 果 这 个 文件 没有 采取 保护 措 
施 , 攻 击 者 很 容易 访问 文件 ,获取 口令 。 口 令 文件 可 以 采用 以 下 的 保护 方法 : 

(1) 单 向 加 密 。 系 统 只 保存 用 户口 令 的 密 文 。 当 用 户 提 出 验证 口令 请 求 时 ,系统 加 密 
此 口令 ,并 与 保存 的 密 文 对 比 ,判断 真 假 。 实 际 上 ,系统 通常 只 进行 单 向 变换 (不 可 北 ) ,在 这 
个 单 向 变换 过 程 中 ,用 口令 产生 一 个 密 钥 用 于 加 密 , 该 函数 的 输出 是 一 个 固定 长 度 的 值 。 

(2) 访问 控制 。 对 口令 文件 的 访问 仅 限于 少数 几 个 账号 。 

如 果 采 取 以 上 两 种 措施 的 一 种 或 全 部 ,入 侵 者 要 获取 口令 的 难度 就 会 相当 大 。 根 据 对 
一 些 口令 攻击 者 的 采访 调查 ,有 如 下 获取 口令 的 技术 : 

。 使 用 系统 提供 的 标准 账户 和 默认 口令 。 许 多 管理 员 不 愿意 改变 这 些 默认 值 。 

。 穷尽 所 有 的 短 口 令 (1 一 3 个 字符 ) 。 

。 尝试 系统 在 线 词 典 中 的 单词 或 看 似 口令 的 单词 列表 。 后 者 可 以 很 容易 地 在 黑客 的 


公告 牌 上 获得 。 
。 收集 用 户 的 信息 ,如 用 户 的 全 称 、 他 们 的 配偶 或 孩子 的 名 称 、 他 们 办 公 室 中 的 图 片 和 
与 他 们 兴趣 的 有 关 书 籍 。 


。 尝试 用户 的 电话 号 码 、 社 会 保障 号 码 和 房间 号 码 。 

。 尝试 本 国 所 有 合法 牌照 号 码 。 

。 使 用 特洛伊 木马 逃避 访问 限制 。 

。 窃听 远程 用 户 和 主机 系统 之 间 的 线路 。 

前 6 种 方法 是 猜测 口令 的 不 同方 法 。 如 果 入 侵 者 是 通过 登录 系统 验证 猜测 口令 的 结 
果 , 那 么 这 个 过 程 对 攻击 者 是 乏味 的 ,也 比较 容易 防范 。 例 如 ,三 次 口令 验证 失败 ,系统 可 断 
开本 次 登录 连接 ,这 使 入侵 者 必须 再 次 连接 主机 。 这 种 情况 下 ,入 侵 者 不 可 能 测试 大 量 的 口 
令 。 当 然 , 入 侵 者 不 可 能 使 用 这 种 拙劣 的 方法 。 例 如 ,如 果 入 侵 者 在 较 低 的 权限 下 就 可 访问 
口令 文件 , 则 攻击 策略 变 成 了 获得 文件 ,然后 从 容 地 研究 这 个 特定 系统 的 加 密 机 制 ,直至 获 
得 一 个 可 以 提供 更 高 权限 的 有 效 口令 。 

在 不 考虑 检测 猜测 进程 的 情况 下 .如果 猜 测 进 程 可 以 自动 尝试 并 检验 大 量 口令 时 , 则 猜 
测 攻击 是 可 行 的 和 高 效 的 。 本 章 后 面部 分 将 详细 讨论 如 何 挫败 猜测 攻击 。 

第 7 种 方法 是 特洛伊 木马 ,这 种 攻击 比较 难以 防范 的 。 低 权限 用 户 制作 一 个 游戏 程序 ， 
邀请 系统 操作 员 在 其 空闲 时 间 用 。 这 个 程序 的 确 是 一 个 游戏 ,但 是 游戏 程序 中 部 分 代码 的 
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作用 是 将 没有 加 密 但 受 访问 控制 的 口令 文件 拷贝 到 用 户 文件 。 因 为 游戏 运行 于 操作 员 的 高 
权限 模式 下 ,所 以 程序 能 够 访问 口令 文件 。 
第 8 种 攻击 是 线路 穷 听 。 这 是 物理 安全 问题 ,可 以 使 用 线路 加 密 技 术 加 以 防范 。 


10.2.2 入 侵 检 测 


和信 侵 检测 是 指 在 计算 机 网 络 或 计算 机 系统 中 的 若干 关键 点 收集 信息 并 对 收集 到 的 信息 
进行 分 析 , 从 而 判断 网 络 或 系统 中 是 否 有 违反 安全 策略 的 行为 和 被 攻击 的 迹象 。 它 是 对 入 
侵 行为 的 发 觉 。 

入 侵 检 测 的 典型 过 程 是 : 信息 收集 、 信 息 ( 数 据 ) 预 处 理 、 数 据 的 检测 分 析 、 根 据 安 全 策 
略 做 出 响应 。 有 的 还 包括 检测 效果 的 评估 。 信 息 收 集 是 指 从 网 络 或 系统 的 关键 点 得 到 原始 
数据 ,这 里 的 数据 包括 原始 的 网 络 数 据 包 、 系 统 的 审计 日 志 、 应 用 程序 日 志 等 原始 信息 ; 数 
据 预 处 理 是 指 对 收集 到 的 数据 进行 预 处 理 ,将 其 转化 为 检测 器 所 需要 的 格式 ,也 包括 对 宛 余 
信息 的 去 除 即 数据 简约 ; 数据 的 检测 分 析 是 指 利 用 各 种 算法 建立 检测 器 模型 ,并 对 输入 的 
数据 进行 分 析 以 判断 和 人 侵 行为 的 发 生 与 否 。 入 侵 检 测 的 效果 如 何 将 直接 取决 于 检测 算法 的 
好 坏 。 这 里 所 说 的 响应 是 指 产生 检测 报告 ,通知 管理 员 , 断 开 网 络 连接 ,或 更 改 防火 墙 的 配 
置 等 积极 的 防御 措施 。 入 侵 检测 被 认为 是 防火 墙 之 后 的 第 二 道 防 线 , 是 动态 安全 技术 的 核 
心 技术 之 一 。 

入 侵 检 测 的 一 个 基本 工具 是 审计 记录 。 用 户 活 动 的 记录 应 作为 和 人 侵 检测 系统 的 输入 。 
一 般 采 用 下 面 两 种 方法 : 

(1) 原始 审计 记录 : 几乎 所 有 的 多 用 户 操作 系统 都 有 收集 用 户 活 动 信 息 的 审计 软件 。 
使 用 这 些 信息 的 好 处 是 不 需要 再 额外 使 用 收集 软件 。 其 缺点 是 审计 记录 可 能 没有 包含 所 需 
的 信息 ,或 者 信息 没有 以 方便 的 形式 保存 。 

(2) 检测 专用 的 审计 记录 : 使 用 的 收集 工具 可 以 只 记录 入 侵 检测 系统 所 需要 的 审计 记 
录 。 此 方法 的 优点 在 于 提供 商 的 软件 可 适用 于 不 同 的 系统 。 缺 点 是 一 台 机 需要 运行 两 个 审 
计 包 管理 软件 ,需要 额外 的 开销 。 

一 般 地 ,每 个 审计 记录 包含 如 下 几 个 域 : 

* 主体 : 行为 的 发 起 者 。 主 体 通常 是 终端 用 户 , 也 可 是 充当 用 户 或 用 户 组 的 进程 。 所 

有 活动 来 自主 体 发 出 的 命令 。 主 体 分 为 不 同 的 访问 类 别 , 类 别 之 间 可 以 重生。 
。 动作 : 主语 对 一 个 对 象 的 操作 或 联合 一 个 对 象 完 成 的 操作 ,如 登录 、 读 ,I/O 操作 和 执行 。 
。 客体 : 行为 的 接收 者 。 客 体 包 括 文件 ,程序 、 消 息 、 记 录 、 终 端 \ 打 印 机 、 用 户 或 程序 
创建 的 结构 。 当 一 个 客体 是 一 个 活动 的 接收 者 时 , 则 主体 也 可 看 成 是 客体 ,比如 电子 
邮件 。 客 体 可 根据 类 型 分 类 。 客 体 的 粒度 可 根据 客体 类 型 和 环境 发 生变 化 。 例 如 ， 
数据 库 行 为 的 审计 可 以 以 数据 库 整 体 或 以 记录 为 粒度 进行 审计 。 

。 异常 条 件 : 车 返回 时 有 异常 , 则 标识 出 该 异常 情况 。 

。 资源 使 用 : 指 大 量 元 素 的 列表 。 每 个 元 素 都 给 出 某 些 资源 使 用 的 数量 (例如 ,打印 

或 显示 的 行 数 , 读 写 记 录 的 次 数 .处 理 器 时 钟 ,使 用 的 I/O 单元 ,会 话 占 用 的 时 间 ) 。 

。 时 间 戳 : 当 动作 发 生 时 用 来 标识 的 唯一 的 时 间 日 期 截 。 

入 侵 检测 系统 (Intrusion Detection System,IDS) 是 完成 和 人 侵 检 测 功能 的 软件 、 硬 件 的 
组 合 。 入 侵 检测 系统 是 对 敌对 攻击 在 适当 的 时 间 内 进行 检测 并 做 出 响应 的 一 种 工具 。 它 能 
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在 不 影响 网 络 性 能 的 情况 下 能 对 网 络 进行 监测 ,从 而 提供 对 内 部 攻击 、 外 部 攻击 和 误 操 作 的 
实时 保护 ,在 计算 机 网 络 和 系统 受到 危害 之 前 进行 报警 .拦截 和 响应 。 入 侵 检测 系统 是 网 络 
安全 防护 体系 的 重要 组 成 部 分 ,是 一 种 主动 的 网 络 安 全 防护 措施 。IDS 从 系统 内 部 和 各 种 
网 络 资源 中 主动 采集 信息 ,从 中 分 析 可 能 的 网 络 入 侵 或 攻击 。 一 般 说 来 ,IDS 还 应 对 入 侵 行 
为 做 出 紧急 响应 。 
IETF 定义 了 一 个 IDS 的 通用 模型 ,如 图 10-1 所 示 。 
输入 : 原始 数据 源 
事件 生成 器 


出 : 原始 或 低级 事件 
h 断 事件 


俞 出 : 反应 或 事件 
输出 : 事件 和 存储 信息 
事件 数据 库 目录 服务 器 


输出 : 
事件 分 析 器 
输入 : 原始 数据 源 


高 级 中 


图 10-1 IDS 体系 结构 

IDS 包括 下 列 几 个 实体 。 

(1) 事件 生成 器 。 它 是 采集 和 过 滤 事 件数 据 的 程序 或 模块 。 负 责 收 集 原 始 数据 , 它 对 
数据 流 .日 志文 件 等 进行 追踪 ,然后 将 搜集 到 的 原始 数据 转换 成 事件 ,并 向 系统 的 其 他 部 分 
提供 此 事件 。 

(2) 事件 分 析 器 。 事 件 分 析 器 是 分 析 事 件数 据 和 任何 CIDF 组 件 传送 给 它 的 各 种 数 
据 。 例 如 将 输入 的 事件 进行 分 析 ,检测 是 否 有 和 侵 的 迹象 ,或 描述 对 入 侵 响 应 的 响应 数据 ， 
都 可 以 发 送 给 事件 分 析 器 进行 分 析 。 

(3) 事件 数据 库 。 负 责 存放 各 种 原始 数据 或 已 加 工 过 的 数据 。 它 从 事件 产生 器 或 事件 
分 析 器 接收 数据 并 进行 保存 , 它 可 以 是 复杂 的 数据 库 , 也 可 以 是 简单 的 文本 。 

(4) 响应 单元 。 响 应 单元 是 针对 分 析 组 件 所 产生 的 分 析 结 果 , 根 据 响应 策略 采取 相应 
的 行为 ,发 出 命令 响应 攻击 。 

(5) 目录 服务 器 。 目 录 服 务 器 用 于 各 组 件 定位 其 他 组 件 , 以 及 控制 其 他 组 件 传递 的 数 
据 并 认证 其 他 组 件 的 使 用 ,以 防止 入侵 检测 系统 本 身受 到 攻击 。 目 录 服 务 器 组 件 可 以 管理 
和 发 布 密 钥 ,提供 组 件 信息 和 用 户 组 件 的 功能 接口 。 

在 这 一 框架 中 ,事件 数据 库 是 核心 。 事 件数 据 库 体现 了 IDS 的 检测 能 力 。 

入 侵 检测 系统 主要 功能 有 : 

。 监测 并 分 析 用 户 和 系统 的 活动 ; 

。 核查 系统 配置 与 漏洞 ; 

。 识别 已 知 的 攻击 行为 并 报 擎 ; 

。 统计 并 分 析 异 常 行为 ; 

。 对 操作 系统 进行 日 志 管 理 , 并 识别 违反 安全 策略 的 用 户 活动 。 


10.2.3 入 侵 检 测 系统 分 类 


入 侵 检 测 系 统 有 多 种 分 类 标准 。 常 见 的 分 类 是 按照 数据 来 源 .可 分 为 基于 主机 的 入 侵 
检测 系统 和 基于 网 络 的 入 侵 检测 系统 。 
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1. 基于 主机 的 入 侵 检测 系统 

基于 主机 的 人 侵 检测 系统 (Host-based IDS, HIDS) 开 始 并 兴盛 于 20 世纪 80 年 代 。 其 
检测 对 象 是 主机 系统 和 本 地 用 户 。 检 测 原理 是 在 每 一 个 需要 保护 的 主机 上 运行 一 个 代理 程 
序 , 根 据 主机 的 审计 数据 和 系统 的 日 志 发 现 可 疑 事件 ,检测 系统 可 以 运行 在 被 检测 的 主机 ， 
从 而 实现 监控 。 基 于 主机 的 人 侵 检 测 系统 如 图 10-2 所 示 。 


目标 系统 
t 
审计 记录 方法 
审计 记录 预 处 理 
I 
t 1 
异常 检测 误 用 检测 
[ J 1 
审计 记录 数据 
安全 管理 员 接 吕 人 


Ca 一 


图 10-2 ”基于 主机 的 入 侵 检测 系统 


基于 主机 的 入侵 检测 系统 的 优点 : 

(1) 能 确定 攻击 是 否 成 功 。 基 于 主机 的 IDS 使 用 含有 已 发 生 的 事件 信息 ,根据 该 事件 
信息 能 准确 判断 攻击 是 否 成 功 ,因而 基于 主机 的 IDS 误 报 率 较 小 。 

(2) 监控 更 为 细致 。 基 于 主机 的 IDS 监控 目标 明确 。 它 可 以 很 容易 地 监控 一 些 在 网 络 
中 无 法 发 现 的 活动 。 如 敏感 文件 目录、 程序 或 端口 的 存 取 。 例 如 基于 主机 的 IDS 可 以 监 
测 所 有 用 户 的 登录 及 退出 的 情况 ,以 及 各 用 户 联网 后 的 行为 。 

(3) 配置 灵活 。 用 户 可 根据 自己 的 实际 情况 对 主机 进行 个 性 化 的 配置 。 

(4) 适应 于 加 密 和 交换 的 环境 。 由 于 基于 主机 的 IDS 是 安装 在 监控 主机 上 ,因而 不 会 
受 加 密 和 交换 的 影响 。 

(5) 对 网 络 流量 不 敏感 。 基 于 主机 的 IDS 不 会 因为 网 络 流量 的 增加 而 放弃 对 网 络 的 
监控 。 

基于 主机 的 人 侵 检测 系统 的 缺点 : 

(1) 由 于 它 通常 作为 用 户 进 程 运行 ,依赖 于 操作 系统 底层 的 支持 ,与 系统 的 体系 结构 有 
关 , 所 以 它 无 法 了 解 发 生 在 下 层 协议 的 入 侵 活动 。 

(2) 由 于 HIDS 要 驻 留 在 受 控 主机 中 ,对 整个 网 络 的 拓扑 结构 认识 有 限 , 根 本 监测 不 到 
网 络 上 的 情况 ,只 能 为 单机 提供 安全 防护 。 

(3) 基于 主机 的 入 侵 检 测 系统 必须 配置 在 每 一 台 需 要 保护 的 主机 上 ,占用 一 定 的 主机 
资源 ,使 服务 器 产生 额外 的 开销 。 

(4) 缺乏 对 平台 的 支持 ,可 移植 性 差 。 
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2. 基于 网 络 的 入 侵 检 测 系 统 

基于 网 络 的 人 侵 检 测 系 统 (Network-based IDS,NIDS) 通过 监听 网 络 中 的 分 组 数据 包 
来 获得 分 析 攻 击 的 数据 源 , 分 析 可 疑 现象 。 它 通常 使 用 报 文 的 模式 匹配 或 模式 匹配 序列 来 
定义 规则 ,检测 时 将 监听 到 的 报 文 与 规则 进行 比较 ,根据 比较 的 结果 来 判断 是 否 有 非 正常 的 
网 络 行 为 。 通 常情 况 下 是 利用 混杂 模式 的 网 卡 来 捕获 网 络 数 据 包 。 基 于 网 络 的 入侵 检测 系 
统 如 图 10-3 所 示 。 


采集 模块 采集 模块 


分 析 引 擎 模块 规则 数据 库 


响应 模块 


图 10-3 基于 网 络 的 入 侵 检 测 系 统 


基于 网 络 的 入侵 检测 系统 的 优点 : 

(1) 监测 速度 快 。 基 于 网 络 的 IDS 能 在 微 秒 或 秒 级 发 现 问题 。 

(2) 能 够 检测 到 HIDS 无 法 检测 的 入 侵 , 例 如 NIDS 能 够 检查 数据 包 的 头 部 而 发 现 非 
法 的 攻击 ,NIDS 能 够 检测 那些 来 自 网 络 的 攻击 , 它 能 够 检测 到 非 授 权 的 非法 访问 。 

(3) 人 侵 对 象 不 容易 销毁 证 据 , 被 截取 的 数据 不 仅 包括 入侵 的 方法 ,还 包括 可 以 定位 人 
侵 对 象 的 信息 。 

(4) 检测 和 响应 的 实时 性 强 ,一旦 发 现 和 人 侵 行为 就 立即 中 止 攻击 。 

(5) 与 操作 系统 无 关 性 。 由 于 基于 网 络 的 IDS 是 配置 在 网 络 上 对 资源 进行 安全 监控 ， 
它 具 有 与 操作 系统 无 关 的 特性 。 

基于 网 络 的 入 侵 检测 系统 的 缺点 : 

(1) NIDS 无 法 采集 高 速 网 络 中 的 所 有 数据 包 。 

(2) 缺乏 终端 系统 对 待定 数据 报 的 处 理 方法 等 信息 .使 得 从 原始 的 数据 包 中 重 构 应 用 
层 信息 很 困难 ,因此 ,NIDS 难以 检测 发 生 在 应 用 层 的 攻击 。 

(3) NIDS 对 以 加 密 传 输 方式 进行 的 入 侵 无 能 为 力 。 

(4) NIDS 只 检查 它 直 接连 接 网 段 的 通信 ,并 且 精 确 度 较 差 .在 交换 式 网 络 环境 下 难以 
配置 , 防 入 侵 欺 骗 的 能 力 较 差 。 

基于 主机 和 基于 网 络 的 检测 系统 各 有 其 自身 的 优点 和 缺陷 .有 些 能 力 是 不 能 互相 替代 
的 。 在 实际 应 用 中 通常 是 综合 利用 两 种 类 型 的 数据 源 以 取长补短 。 


10.2.4 入 侵 检 测 技术 


现在 应 用 最 多 的 入 侵 检测 技术 可 分 为 异常 检测 和 误 用 检测 两 类 。 
1. 异常 检测 
异常 检测 也 称 之 为 基于 行为 的 检测 .来源 于 这 样 的 思想 : 任何 一 种 入 侵 行为 都 能 由 于 
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其 偏离 正常 或 者 所 期 望 的 系统 和 用 户 的 活动 规律 而 被 检测 出 来 。 异 常 检测 通常 首先 从 用 户 
的 正常 或 者 合法 活动 收集 一 组 数据 ,这 一 组 数据 集 被 视 为 “正常 调用 "”。 若 用 户 偏离 了 正常 
调用 模式 , 则 会 认为 是 入侵 而 报警 。 就 是 说 ,任何 不 符合 以 往 活动 规律 的 行为 都 将 被 视 为 人 
侵 行为 。 异 常 检测 方法 的 优点 是 : 第 一 ,正常 使 用 行为 是 被 准确 定义 的 ,检测 的 准确 率 高 ; 
第 二 ,能 够 发 现任 何 企图 发 据 、 试 探 系 统 最 新 和 未 知 漏洞 的 行为 ,同时 在 某 种 程度 上 它 较 少 
依赖 于 特定 的 操作 系统 环境 。 异常 检测 的 缺点 是 : 必须 枚 举 所 有 的 正常 使 用 规则 ,否则 会 
导致 有 些 正常 使 用 的 行为 会 被 误 认 为 是 入 侵 行为 , 即 有 误 报 产生 ; 在 检测 时 , 某 个 行为 是 否 
属于 正常 ,通常 不 能 做 简单 的 匹配 ,而 要 利用 统计 方法 进行 模糊 匹配 ,在 实现 上 有 一 定 的 难 


度 。 异 常 检测 的 模型 如 图 10-4 所 示 。 
审计 数据 


入 侵 行为 正常 模型 


一 致 


| — 
入 侵 响 应 | 正常 行为 | 历史 数据 
Se 


图 10-4 异常 检测 的 模型 


目前 基于 异常 检测 的 入 侵 检 测 方法 主要 有 以 下 方法 : 

1) 统计 学 方法 

统计 方法 是 一 种 较 成 熟 的 入 侵 检 测 方法 ,通过 一 段 时 间 内 收集 的 合法 用 户 行为 的 相关 
数据 来 定义 正常 的 或 者 期 待 的 行为 ,然后 对 观测 的 数据 进行 统计 测试 来 确定 行为 的 合法 性 。 

该 方法 由 于 以 成 熟 的 概率 统计 理论 作为 基础 ,所 以 在 应 用 上 很 容易 被 采用 ,但 是 也 存在 
着 明显 的 不 足 : 统计 方法 需要 分 析 大 量 的 审计 数据 ,. 当 入 侵 行为 对 审计 记录 的 影响 非常 小 
时 ,即使 该 行为 具有 明显 的 特征 ,也 不 能 被 检测 出 来 ; 检测 的 阀 值 难以 确定 , 阀 值 过 低 则 虚 
警 率 就 会 提高 ,这样 会 影响 系统 的 正常 工作 , 阀 值 过 高 则 漏 警 率 就 会 升 高 ,不 能 有 效 检 测 到 
入 侵 行 为 ,这 样 对 系统 的 人 侵 行 为 就 不 能 适时 制止 。 

2) 神经 网 络 法 

神经 网 络 是 发 展 比较 成 熟 的 理论 ,而 且 在 很 多 领域 都 得 到 了 广泛 应 用 。 这 种 方法 对 用 
户 行 为 具有 学 习 和 自 适应 功能 ,能 够 根据 实际 检测 到 的 信息 有 效 地 加 以 处 理 , 并 做 出 入 侵 可 
能 性 的 判断 。 因 此 ,在 基于 神经 网 络 的 入 侵 检 测 系 统 中 .只 要 提供 系统 的 审计 数据 , 它 就 可 
以 通过 自学 习 从 中 提取 正常 的 用 户 或 系统 活动 的 特征 模式 ,而 不 必 对 大 量 的 数据 进行 存 取 。 
利用 神经 网 络 所 具有 的 识别 分 类 和 归纳 能 力 , 可 以 使 信 侵 检测 系统 适应 用 户 行为 特征 的 可 
变性 。 从 模式 识别 的 角度 来 看 .和 人 侵 检测 系统 可 以 使 用 神经 网 络 来 提取 用 户 行为 的 模式 特 
征 ,并 以 此 创建 用 户 的 行为 特征 轮廓 。 总 之 ,把 神经 网 络 引 入 入侵 检测 系统 ,能 很 好 地 解决 
用 户 行为 的 动态 特征 ,以 及 搜索 数据 的 不 完整 性 \ 不 确定 性 所 造成 的 难以 精确 检测 的 问题 。 
神经 网 络 适用 于 不 精确 模型 ,但 其 描述 的 精确 度 很 重要 .不 然 会 引起 大 量 的 误 报 。 
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3) 数据 挖掘 法 

基于 数据 挖掘 的 入 侵 检测 系统 基本 构成 有 几 个 部 分 : 数据 收集 、 数 据 清 理 、 数 据 选择 和 
转换 、 发 现 模块 以 及 结果 显示 。 由 于 入 侵 检 测 的 本 质 特 点 是 分 类 ,这 样 数据 挖掘 的 技术 优势 
在 入 侵 检测 领域 也 得 到 了 充分 的 发 挥 。 可 用 于 入 侵 检测 领域 有 关 的 算法 有 : 关联 规则 、 序 
列 模式 发 现 ,粗糙 集聚 类 等 算法 ,但 是 数据 挖掘 在 人 侵 检测 中 的 应 用 还 不 是 很 成 熟 , 还 需要 
进一步 的 研究 。 

4) 免疫 学 

由 于 免疫 系统 的 独特 性 能 ,使 得 采用 免疫 学 方法 的 入 侵 检测 系统 同样 拥有 者 很 多 的 优 
势 , 主 要 表现 在 多 样 性 、 容 错 性 、 分 布 性 动态 性 、 自 管理 性 和 自 适应 性 等 方面 。 采 用 免疫 学 
的 入 侵 检 测 系 统 其 检测 的 虚 警 率 会 很 低 .但 会 有 漏 警 现象 发 生 。 由 于 这 种 技术 在 实现 上 存 
在 一 定 的 难度 ,所 以 只 是 处 在 理论 研究 阶段 . 离 真 正 的 实用 阶段 还 有 相当 大 的 差距 。 

2. 误 用 检测 

误 用 检测 又 称 之 为 特征 检测 ,建立 在 对 过 去 各 种 已 知 网 络 入 侵 方法 和 系统 缺陷 知识 的 
积累 之 上 ,定义 了 一 系列 人 侵 行为 的 规则 。 当 某 个 系统 的 调用 与 一 个 已 知 的 入 侵 行为 规则 
相 匹 配 时 , 则 认为 是 入 侵 行为 。 误 用 检测 是 直接 对 入 侵 行为 进行 特征 化 描述 。 其 主要 优点 
有 : 依据 具体 特征 库 进 行 判断 ,检测 过 程 简单 ,检测 效率 高 ,检测 精度 高 ,一 般 不 存在 误 检 
测 ,可 以 依据 检测 到 的 不 同 攻击 类 型 ,采取 不 同 的 措施 。 缺 点 有 : 对 具体 系统 依赖 性 太 强 ， 
可 移植 性 较 差 ,维护 工作 量 大 ,同时 无 法 检测 到 未 知 的 攻击 。 误 用 检测 的 模型 如 图 10-5 


所 示 。 
新 的 入 侵 模式 
入 侵 行为 
[人 mr 正常 行为 ] 
图 10-5 误 用 检测 的 模型 
常用 的 误 用 检测 方法 包括 以 下 几 种 : 
1) 专家 系统 


用 专家 系统 对 人 侵 进行 检测 ,经 常 是 针对 有 特征 的 入侵 行为 ,是 基于 一 套 由 专家 经 验 事 
先 定义 规则 的 推理 系统 。 所 谓 的 规则 , 即 是 知识 .专家 系统 的 建立 依赖 于 知识 库 的 完备 性 ， 
知识 库 的 完备 性 又 取决 于 审计 记录 的 完备 性 与 实时 性 。 

由 于 专家 系统 的 建立 依赖 于 知识 库 , 建 立 一 个 完善 的 知识 库 是 很 困难 的 ,这 是 专家 
系统 当前 所 面临 的 一 大 不 足 。 另 外 ,由 于 各 种 操作 系统 的 审计 机 制 也 存在 差异 ,针对 不 
同 操作 系统 的 入 侵 检测 专家 系统 之 间 的 移植 性 问题 也 十 分 明显 。 系 统 的 处 理 速度 问题 
也 使 得 基于 专家 系统 的 人 侵 检测 只 能 作为 一 种 研究 原形 , 若 要 商业 化 则 需要 采用 更 有 效 
的 处 理 方法 。 
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2) 模式 匹配 

模式 匹配 检查 对 照 一 系列 已 有 的 攻击 ,比较 用 户 活动 ,将 收集 到 的 信息 与 已 知 的 网 络 人 
侵 和 系统 特征 库 进 行 比 较 , 从 而 发 现 违背 安全 策略 的 人 侵 行为 。 目 前 .模式 匹配 已 经 成 为 人 
侵 检 测 领 域 中 使 用 最 广泛 的 检测 手段 和 机 制 之 一 :这 种 想法 的 先进 之 处 在 于 定义 已 知 的 问 
题 模式 ,然后 观察 能 与 模式 匹配 的 事件 数据 。 独 立 的 模式 可 以 由 独立 事件 .事件 序列 .事件 
临界 值 或 者 允许 与 .或 操作 的 通用 规则 表达 式 组 成 。 

3) 状态 迁移 分 析 

状态 迁移 分 析 方 法 的 前 提 是 所 有 的 入 侵 行为 必须 有 这 样 的 共性 : 

(1) 入 侵 行 为 要 求 攻击 者 拥有 对 目标 系统 的 某 些 最 低 限 度 的 必要 访问 权限 。 

(2) 所 有 的 人 侵 行 为 将 导致 某 些 先前 没有 的 功能 的 实现 。 

总 之 要 有 实际 的 系统 状态 发 生 。 

在 这 种 方法 中 ,入 侵 者 的 行为 可 以 用 状态 迁移 图 表示 。 在 状态 转换 分 析 中 ,人 侵 被 看 作 
是 由 一 些 初始 行为 向 目标 有 害 行为 转换 的 行为 序列 ,状态 转换 分 析 表 确定 需求 和 渗透 的 危 
害 , 同 时 也 列 出 了 成 功 完成 一 个 人 侵 必 然 发 生 的 关键 行为 。 


10.2.5 分 布 式 入 侵 检 测 


最 初 的 IDS 采用 的 是 集中 式 的 检测 方法 ,由 中 央 控 制 台 集中 处 理 采 集 到 的 数据 信息 ， 
分 析 判 断 网 络 安全 状况 。 基 于 主机 的 和 基于 网 络 的 都 是 集中 式 人 侵 检测 系统 。 其 弱点 是 检 
测 中 心 被 攻击 会 造成 全 局 的 破坏 或 竣 痪 。 为 应 对 复杂 多 变 的 大 型 分 布 式 网 络 , 分 布 式 入 侵 
检测 系统 (Distributed IDS,DIDS) 应 运 而 生 , 它 采用 多 个 代理 在 网 络 各 部 分 分 别 进行 入 侵 
检测 ,各 检测 单元 协作 完成 检测 任务 ,并 还 能 在 更 高 层次 上 进行 结构 扩展 ,以 适应 网 络 规模 
的 扩大 。 通 过 网 络 人 侵 检测 系统 的 共同 合作 ,可 获得 更 有 效 地 防卫 。 

分 布 式 人 侵 检 测 系 统 的 各 个 模块 分 布 在 网 络 中 不 同 的 计算 机 设备 上 。 一 般 来 说 分 布 性 
主要 体现 在 数据 收集 模块 上 ,如果 网 络 环境 比较 复杂 、 数 据 量 比较 大 .那么 数据 分 析 模 块 也 
会 分 布 在 网 络 的 不 同 计算 机 设备 上 ,通常 是 按照 层次 性 的 原则 进行 组 织 。 分 布 式 入 侵 检 测 
系统 根据 各 组 件 间 的 关系 还 可 细 分 为 层次 式 DIDS 和 协作 式 DIDS。 

在 层次 式 DIDS 中 ,定义 了 若干 个 分 等 级 的 监测 区 域 .每 一 个 区 域 有 一 个 专门 负责 分 析 
数据 的 IDS, 每 一 级 IDS 只 负责 所 监测 区 域 的 数据 分 析 .然后 将 结果 传送 给 上 一 级 IDS。 层 
次 式 DIDSS 通过 分 层 分 析 很 好 地 解决 了 集中 式 IDS 的 不 可 扩展 的 问题 ,但 同时 也 存在 下 列 
问题 : 当 网 络 的 拓扑 结构 改变 ,区 域 分 析 结 果 的 汇总 机 制 也 需要 做 相应 的 调整 ; 一 旦 位 于 
最 高 层 的 IDS 受到 攻击 后 ,其 他 那些 从 网 络 多 路 发 起 的 协同 攻击 就 容易 逃 过 检测 ,造成 
漏 检 。 

协作 式 DIDS 将 中 央 检 测 服务 器 的 任务 分 配给 若干 个 互相 合作 的 基于 主机 的 IDS, 这 
些 IDS 不 分 等 级 ,各 司 其 职 , 负 责 监控 本 地 主机 的 某 些 活动 .所 有 的 IDS 并 发 执行 并 相互 协 
作 。 协 作 式 IDS 的 特点 就 在 于 它 的 各 个 结 点 都 是 平等 的 ,一 个 局 部 IDS 的 失效 不 会 导致 整 
个 系统 的 竣 痪 ,也 不 会 导致 协同 攻击 检测 的 失败 。 因 而 ,系统 的 可 扩展 性 、 安 全 性 都 得 到 了 
显著 的 提高 。 但 同时 它 的 维护 成 本 却 很 高 .并且 增 加 了 所 监控 主机 的 工作 负荷 ,如 通信 机 
制 、 审 计 开 销 、 踪 迹 分 析 等 。 而 且 主 机 之 间 的 通信 ,审计 以 及 审计 数据 分 析 机 制 的 优 劣 直接 
影响 了 协作 式 入 侵 检 测 系统 的 效率 。 
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10.3 防 火 墙 


随 着 计算 机 网 络 的 发 展 和 普及 , 绝 大 多 数 机 构 都 建立 了 自己 的 网 络 ,并 接 人 到 
Internet。Internet 上 大 量 有 用 的 信息 和 服务 对 于 人 们 而 言 是 必需 的 。 但 是 ,Internet 在 提 
供 便利 的 同时 ,也 使 得 外 面 的 世界 能 够 接触 到 本 地 网 络 并 对 其 产生 影响 。 这 便 对 机 构 产 生 
了 威胁 。 虽 然 给 每 个 工作 站 和 本 地 网 络 都 配置 强大 的 安全 特性 是 可 能 的 ,但 却 并 不 是 一 个 
实际 的 办 法 。 一 种 越 来 越 为 人 们 所 接受 的 替代 方法 是 防火 墙 。 防 火 墙 被 嵌入 在 本 地 网 络 和 
Internet 之 间 , 从 而 建立 受 控 制 的 连接 并 形成 外 部 安全 墙 或 者 说 是 边界 。 这 个 边界 的 目的 
在 于 防止 本 地 网 络 受到 来 自 Internet 的 攻击 ,并 在 安全 性 将 受到 影响 的 地 方形 成 阻塞 点 。 
防火 墙 可 以 是 一 台 计 算 机 系统 ,也 可 以 由 两 台 或 更 多 的 系统 协同 工作 起 到 防火 墙 的 作用 。 

防火 墙 是 一 种 有 效 的 防御 工具 ,一 方面 它 使 得 本 地 系统 和 网 络 免 于 受到 网 络 安全 方面 
的 威胁 , 另 一 方面 提供 了 通过 广域网 和 Internet 对 外 界 进行 访问 的 有 效 方式 。 


10.3.1 防火 墙 的 概念 


简单 地 讲 ,防火 墙 是 一 个 由 软件 和 硬件 组 合 而 成 的 、 起 过 滤 和 封锁 作用 的 计算 机 或 者 网 
络 系统 , 它 一 般 部 署 在 本 地 网 络 ( 内 部 网 ) 和 外 部 网 (通常 是 Internet) 之 间 , 内 部 网 络 被 认为 
是 安全 和 可 信赖 的 ,外 部 网 络 则 是 不 安全 和 不 可 信赖 的 。 防 火 墙 的 作用 是 阻止 不 希望 的 或 
者 未 授权 的 通信 进出 内 部 网 络 ,通过 边界 控制 强化 内 部 网 络 的 安全 。 

防火 墙 隔离 了 内 部 网 络 和 外 部 网 络 , 它 被 设计 成 只 运行 专用 访问 控制 软件 的 设备 ,而 没 
有 其 他 服务 ,具有 相对 较 少 的 缺陷 和 安全 漏洞 。 此 外 ,防火 墙 改 进 了 登录 和 监测 功能 ,可 以 
进行 专用 的 管理 。 如 果 采 用 了 防火 墙 ,内 部 网 中 的 计算 机 不 再 直接 暴露 给 来 自 Internet 的 
攻击 。 因 此 ,对 整个 内 部 网 的 主机 的 安全 管理 就 变 成 了 对 防火 墙 的 安全 管理 ,使 得 安全 管理 
更 方便 、 易 于 控制 。 

防火 墙 放置 于 网 络 拓扑 结构 的 合适 结 点 上 .使 所 有 进出 内 部 网 络 的 通信 必须 进 过 防火 
墙 , 从 而 隔离 内 部 和 外 部 网 络 。 所 有 通过 防火 墙 的 通信 必须 根据 安全 策略 制定 的 过 滤 规则 
(访问 控制 规则 ) 进 行 监控 和 审查 ,过 滤 掉 任何 不 符合 安全 规则 的 信息 ,以 保护 内 部 网 络 不 受 
外 界 的 非法 访问 和 攻击 。 防 火 墙 本 身 应 该 是 不 可 侵入 的 。 防 火 墙 是 一 种 建立 在 被 认为 是 安 
全 可 信 的 内 部 网 络 和 被 认为 是 不 太 安全 可 信 的 外 部 网 络 ( 如 Internet) 之 间 的 访问 控制 机 
制 ,是 安全 策略 的 具体 体现 。 

为 了 控制 访问 和 加 强 站 点 安全 策略 ,防火墙 采用 了 4 项 常用 技术 : 

(1) 服务 控制 。 决 定 哪些 Internet 服务 可 以 被 访问 .无论 这 些 服 务 是 从 内 而 外 还 是 从 
外 而 内 。 防 火 墙 可 以 以 IP 地 址 和 TCP 端口 为 基础 过 滤 通 信 ; 也 可 以 提供 代理 软件 ,在 服 
务 请 求 通过 防火 墙 时 接收 并 解释 它们 ; 或 者 执行 服务 器 软件 的 功能 ,比如 邮件 服务 。 

(2) 方向 控制 。 决 定 在 哪些 特定 的 方向 上 服务 请 求 可 以 被 发 起 并 通过 防火 墙 。 

(3) 用 户 控 制 。 根 据 用 户 正在 试图 访问 的 服务 器 :来 控制 其 访问 。 这 个 技术 特性 主要 
应 用 于 防火 墙 网 络 内 部 的 用 户 ( 本 地 用 户 )。 它 也 可 以 应 用 到 来 自 外 部 用 户 的 通信 ; 后 者 需 
要 某 种 形式 的 安全 认证 技术 ,例如 IPSec。 
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(4) 行为 控制 。 控 制 一 个 具体 的 服务 怎样 被 实现 。 举 例 来 说 ,防火 墙 可 以 通过 过 滤 邮 
件 来 清除 垃圾 邮件 。 它 也 可 能 只 允许 外 部 用 户 访 问 本 地 服务 器 的 部 分 信息 。 

防火 墙 具 有 以 下 几 个 功能 : 

@ 访问 控制 功能 。 这 是 防火 墙 最 基本 和 最 重要 的 功能 ,通过 禁止 或 允许 特定 用 户 访 问 
特定 资源 ,保护 内 部 网 络 的 资源 和 数据 。 防 火 墙 定义 了 单一 阻塞 点 , 它 使 得 未 授权 的 用 户 无 
法 进入 网 络 ,禁止 了 潜在 的 、 易 受 攻击 的 服务 进入 或 是 离开 网 络 。 

@ 内 容 控制 功能 。 根 据 数据 内 容 进行 控制 ,例如 过 滤 垃 圾 邮件 .限制 外 部 只 能 访问 本 
地 Web 服务 器 的 部 分 功能 等 。 

@ 日 志 功 能 。 防 火 墙 需要 完整 地 记录 网 络 访问 的 情况 ,包括 进出 内 部 网 的 访问 。 一 旦 
网 络 发 生 了 和 人 侵 或 者 遭 到 破坏 ,可 以 对 日 志 进 行 审计 和 查询 , 查 明 事 实 。 

@ 集中 管理 功能 。 针 对 不 同 的 网 络 情况 和 安全 需要 ,指定 不 同 的 安全 策略 ,在 防火 墙 
上 集中 实施 ,使 用 中 还 可 能 根据 情况 改变 安全 策略 。 防 火 墙 应 该 是 易于 集中 管理 的 ,便于 管 
理 员 方便 地 实施 安全 策略 。 

@ 自身 安全 和 可 用 性 。 防 火 墙 要 保证 自己 的 安全 ,不 被 非法 侵入 ,保证 正常 地 工作 。 
如 果 防 火 墙 被 侵入 ,安全 策略 被 破坏 , 则 内 部 网 络 就 变 得 不 安 人 全。 防火墙 要 保证 可 用 性 , 否 
则 网 络 就 会 中 断 , 内 部 网 的 计算 机 无 法 访问 外 部 网 的 资源 。 

另外 ,防火 墙 和 可 能 具有 流量 控制 ,网 络 地 址 转换 (NAT) .虚拟 专用 网 (VPN) 等 功能 。 

防火 墙 正 在 成 为 控制 对 网 络 系统 访问 的 非常 流行 的 方法 。 事 实 上 ,在 Internet 上 的 
Web 网 站 中 ,超过 1/3 的 Web 网 站 都 是 由 某 种 形式 的 防火 墙 加 以 保护 ,这 是 对 黑客 防范 最 
严 , 安 全 性 较 强 的 一 种 方式 ,任何 关键 性 的 服务 器 ,都 建议 放 在 防火 墙 之 后 。 

防火 墙 并 不 能 做 到 绝对 的 安全 , 它 也 有 局 限 性 ,包括 : 

(1) 防火 墙 不 能 防御 不 经 由 防火 墙 的 攻击 。 例 如 ,如 果 人 允许 从 内 部 网 络 向 外 拨号 ,网 络 
内 部 可 能 会 有 用 户 通过 拨号 连 入 Internet, 形 成 于 Internet 的 直接 连接 ,从 而 绕 过 了 防火 
墙 ,成 为 一 个 潜在 的 后 门 攻击 渠道 。 

(2) 防火 墙 不 能 防范 来 自 内 部 的 威胁 。 例 如 某 个 心怀 不 满 的 员工 或 者 某 个 私下 里 与 网 
络 外 部 攻击 者 联手 的 雇员 ,从 内 部 网 进行 破坏 活动 ,因为 该 通信 没有 经 过 防火 墙 , 则 防火 墙 
无 法 阻止 。 

(3) 防火 墙 不 能 防止 病毒 感染 的 程序 和 文件 进出 内 部 网 。 事 实 上 ,安装 了 防火 墙 的 网 
络 系 统 内 部 ,运行 着 多 种 多 样 的 操作 系统 和 应 用 程序 . 想 通 过 扫描 所 有 进出 网 络 的 文件 、 电 
子 邮 件 以 及 信息 来 检测 病毒 的 方法 是 不 实际 的 ,也 是 不 大 可 能 实现 的 。 这 只 能 在 每 台 主 机 
上 安装 反 病毒 软件 。 

(4) 防火 墙 不 能 防止 数据 驱动 式 的 攻击 。 一 些 表面 正常 的 数据 通过 电子 邮件 或 者 其 他 
方式 复制 到 内 部 主机 上 ,一 旦 被 执行 就 形成 攻击 。 

防火 墙 技 术 发 展 主要 经 历 了 四 个 阶段 : 第 一 代 防 火 墙 是 基于 路 由 器 的 , 即 防火 墙 与 路 
由 器 一 体 , 采 用 的 主要 是 包 过 滤 技 术 。 它 利用 路 由 器 本 身 对 分 组 解析 。 第 二 代 防 火 墙 由 一 
系列 具有 防火 墙 功能 的 工具 集 组 成 。 这 一 代 的 防火 墙 将 过 滤 功 能 从 路 由 器 中 独立 出 来 ,并 
在 其 中 加 入 告警 和 审计 的 功能 。 此 时 ,用 户 可 针对 自己 的 需求 构造 防火 墙 。 这 一 代 的 防火 
墙 是 纯 软 件 产品 ,而 且 对 系统 管理 员 提出 了 相当 复杂 的 要 求 ,因为 管理 员 必 须 掌 握 和 精通 足 
够 的 知识 ,才能 让 防火 墙 运转 良好 。 第 三 代 防 火 墙 为 应 用 层 防火 墙 。 它 建立 在 通用 操作 系 
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统 之 上 。 它 包括 分 组 过 滤 功 能 , 装 有 专用 的 代理 系统 ,监控 所 有 协议 的 数据 和 指令 ,保护 用 
户 编程 和 用 户 可 配置 内 核 参 数 的 配置 ,安全 性 和 速度 大 为 提高 。 防 火 墙 技术 和 产品 随 着 网 
络 攻击 和 安全 防护 手段 的 发 展 而 演变 ,第 四 代 防 火 墙 为 动态 包 过 滤 技 术 ,也 称 作 状 态 检 测 技 
术 。 该 技术 能 够 做 到 对 网 络 中 多 种 通信 协议 的 数据 包 作 出 通信 状态 的 动态 响应 。 


10.3.2 防火 墙 的 分 类 


防火 墙 技术 按照 防范 的 方式 和 侧重 点 的 不 同 可 分 为 很 多 种 类 型 ,但 总 体 来 说 可 分 为 三 
大 类 : 包 过 滤 防 火 墙 .应 用 层 网 关 和 电路 层 网 关 。 

1. 包 过 滤 防 火 墙 

包 过 滤 技 术 是 最 早 的 防火 墙 技术 ,工作 在 网 络 层 。 这 种 防火 墙 的 原理 是 将 IP 数据 报 的 
各 种 包头 信息 与 防火 墙 内 建 规则 进行 比较 ,然后 根据 过 滤 规 则 有 选择 地 阻止 或 允许 数据 包 
通过 防火 墙 。 流 入 数据 流 到 达 防 火 墙 后 ,防火 墙 就 检查 数据 流 中 每 个 IP 数据 报 的 各 种 包头 
信息 ,例如 源 地 址 、 目 的 地 址 、 源 端口 .目的 端口 ,协议 类 型 ,来 确定 是 否 允 许 该 数据 包 通 过 。 
一 旦 该 包 的 信息 匹配 了 某 些 特 征 , 则 防火 墙根 据 其 内 建 规则 对 包 进 行 相应 的 操作 。 例 如 , 基 
于 特定 Internet 服务 的 服务 器 驻 留 在 特定 端口 的 事实 ,如 TCP 端口 23 提供 Telnet 服务 ， 
包 过 滤 技 术 可 以 通过 规定 适当 的 端口 号 来 达到 允许 或 阻止 到 特定 服务 连接 的 目的 。 包 过 滤 
的 核心 技术 是 安全 策略 及 过 滤 规 则 的 设计 。 包 过 滤 防 火 墙 一 般 由 路 由 器 充当 ,要 求 路 由 器 
在 完成 路 由 选择 和 数据 转发 之 外 ,同时 具有 包 过 滤 功 能 。 

包 过 滤 防 火 墙 的 主要 工作 原理 如 图 10-6 所 示 。 


应 用 层 


传输 层 人 、 

网 络 层 1 防火 墙 工作 : 
! 检 查 每 一 个 数据 包 的 源 /目的 IP 地 址 
网 络 接口 层 1 端口 号 等 IP 报 头 参数 ， 并 根据 防火 
psa ) 


流入 数据 流 流出 数据 流 
图 10-6 包 过 滤 防 火 墙 


由 图 10-6 可 见 , 包 过 滤 防 火 墙 的 数据 流向 在 TCP/IP 协议 栈 内 最 多 只 经 过 下 面 的 网 络 
接口 层 、 网 络 层 和 传输 层 三 层 ,数据 报 不 会 上 传 到 应 用 层 。 

包 过 滤 防 火 墙 的 具体 实现 是 基于 过 滤 规 则 的 。 建 立 这 类 防火 墙 包 括 如 下 步骤 : 建立 安 
全 策略 , 写 出 所 允许 的 和 禁止 的 任务 ,将 安全 策略 转化 为 一 个 包 过 滤 规 则 表 。 过 滤 规 则 的 设计 
主要 依赖 于 数据 包 所 提供 的 包头 信息 : 源 地 址 、 目 的 地 址 、TCP/UDP 源 端 口号 .TCP/UDP 目 
的 端口 号 .标志 位 、 用 来 传送 数据 包 的 协议 等 。 由 规则 表 和 数据 头 内 容 的 匹配 情况 来 执行 过 
滤 操 作 。 如 果 有 一 条 规则 和 数据 包 的 状态 匹配 ,就 按照 这 条 规则 来 执行 过 滤 操作 。 如 果 没 
有 一 条 规则 匹配 ,就 执行 默认 操作 。 默 认 的 策略 可 能 是 : 

。 默认 值 设 置 为 丢弃 : 那么 所 有 没有 被 规定 允许 转发 的 数据 包 都 将 被 丢弃 。 

。 默认 值 设置 为 转发 : 那么 所 有 没有 被 规定 需要 丢弃 的 数据 包 都 将 被 转发 。 

表 10-2 给 出 了 包 过 滤 规 则 表 的 一 些 例子 。 在 每 个 表 中 .规则 被 从 上 到 下 依次 应 用 。* 
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是 一 个 通配符 ,用 来 表示 符合 要 求 的 每 一 种 可 能 。 这 里 假设 使 用 默认 丢弃 策略 。 
表 10-2 包 过 滤 的 实例 


处 理 内 部 主机 端口 外 部 主机 | 端口 标识 说 明 
阻塞 x x SPIGOT x 这 些 人 不 被 信任 
通过 OUR-GW 25 x x 与 内 部 主机 的 SMTP 端口 有 连接 
阻塞 x x xx x 默认 
通过 x x x 25 与 外 部 主机 的 SMTP 端口 有 连接 
i 通过 | 本 地 主机 x x ”5 发 往外 部 SMTP 端口 的 包 
通过 关 25 x x ACK | 外 部 主机 的 回复 
通过 | 本 地 主机 x 关 x 本 地 主机 的 输出 的 请 求 
E ”通过 * x x x ACK | 对 本 地 请 求 的 回复 
通过 x 关 x >1024 到 非 服务 器 的 通信 


(1) 规则 表 A 规定 允许 进入 防火 墙 内 部 的 邮件 通过 (端口 25 专门 供 SMTP 进入 内 部 
使 用 ) ,但 是 只 能 发 往 一 台 特 定 的 网 关 主 机 ,从 特定 的 外 部 主机 SPIGOT 发 来 的 邮件 将 被 
阻塞 。 

(2) 规则 表 B 为 默认 策略 。 实 际 应 用 中 ,所 有 的 规则 表 都 把 默认 策略 当做 最 后 的 规则 。 

(3) 规则 表 C 规定 内 部 的 每 一 台 主 机 都 可 以 向 外 部 发 送 邮 件 。 一 个 目的 端口 为 25 的 
TCP 包 将 被 路 由 到 目的 机 器 上 的 SMTP 服务 器 。 这 条 规则 的 问题 在 于 把 端口 25 用 来 作为 
SMTP 接收 只 是 一 个 默认 设置 ; 而 外 部 机 器 的 端口 25 可 能 被 设置 用 来 做 其 他 的 应 用 。 从 
这 条 规则 可 以 看 出 ,一 个 攻击 者 可 以 通过 发 送 一 个 TCP 源 端口 为 25 的 数据 包 来 获得 对 内 
部 机 器 的 访问 权 。 

(4) 规则 表 D 达到 了 表 C 所 没有 达到 的 效果 。 它 利用 了 TCP 连接 的 优点 ,一旦 建立 一 
个 连接 ,那么 TCP 段 被 设置 一 个 ACK 标志 .表示 是 另 一 方 发 来 的 数据 段 。 因 此 ,这 个 规则 
表 就 允许 那些 源 IP 地 址 是 给 定 的 某 些 主机 .而 目标 TCP 端口 数 是 25 的 数据 分 组 通过 。 并 
同时 允许 那些 源 端口 数 为 25 并 且 包 含 一 个 ACK 标志 的 数据 分 组 通过 。 当 然 必须 清楚 地 
指定 源 系统 和 目的 系统 ,才能 有 效 地 定义 这 些 规则 。 

(5) 规则 表 正 是 一 种 处 理 FTP 连接 的 方法 。 为 实现 FTP. 需 要 建立 两 个 TCP 连接 ,以 
控制 连接 负责 建立 文件 传输 .数据 连接 负责 实际 文件 的 传输 过 程 。 数 据 连 接 使 用 与 控制 连 
接 不 同 的 端口 ,这 个 端口 是 在 传输 时 动态 分 配 的 。 大 多 数 服务 器 使 用 低 端 口 ,它们 往往 是 攻 
击 者 的 目标 ; 大 多 数 对 外 部 系统 的 呼叫 则 倾向 于 使 用 高 端口 ,特别 是 大 于 1023 的 。 因 此 ， 
这 个 规则 表 在 下 列 情况 允许 通过 : 

。 从 内 部 发 出 的 数据 包 。 

。 对 一 个 内 部 机 器 所 建立 的 连接 进行 响应 的 数据 包 。 

。 内 部 机 器 上 发 向 高 端口 的 数据 包 。 

这 个 方案 要 求 系 统 设 置 为 只 有 某 些 适当 的 端口 可 用 。 

规则 表 王 表明 了 在 包 过 滤 层 上 处 理应 用 程序 存在 着 困难 。 

包 过 滤 防 火 墙 技 术 有 如 下 特点 : 包 过 滤 技术 是 一 种 简单 ` 有 效 的 访问 控制 技术 , 它 通过 
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在 网 络 间 相互 连接 的 设备 下 加 载 允 许 、 禁 止 来 自 某 些 特定 的 源 地 址 、 目 的 地 址 、TCP 端口 号 
等 规则 ,对 通过 的 数据 包 进 行 检查 ,限制 数据 包 进 出 内 部 网 络 。 它 最 大 的 优点 是 对 用 户 透 
明 ,传输 性 能 高 。 但 由 于 它 只 能 检测 IP 数据 报 的 网 络 层 和 传输 层 的 包头 部 分 ,因而 只 能 进 
行 较为 初步 的 检测 和 控制 。 对 于 一 些 应 用 层 携 带 恶 意 数据 的 拥塞 攻击 、 远 程 溢出 或 会 话 动 
持 等 高 层次 的 攻击 手段 , 则 无 能 为 力 。 

包 过 滤器 防火 墙 的 缺点 : 

(1) 包 过 滤器 防火 墙 不 检查 上 层 数 据 , 因 此 ,对 于 那些 利用 特定 应 用 漏洞 的 攻击 ,防火 
墙 无 法 防范 。 例 如 , 包 过 滤 防 火 墙 不 能 阻塞 具体 的 应 用 程序 指令 ; 它 一 旦 允许 某 个 应 用 程 
序 通过 ,那么 程序 内 所 有 的 操作 都 将 被 允许 通过 。 

(2) 由 于 防火 墙 可 用 的 信息 有 限 . 它 所 提供 的 日 志 功 能 也 十 分 有 限 。 包 过 滤器 日 志 一 
般 只 记载 那些 曾经 做 出 过 访问 控制 决定 的 信息 ( 源 地 址 、 目 的 地 址 和 通信 类 型 )。 

(3) 多 数 包 过 滤 防 火 墙 不 支持 高 级 用 户 认 证 方案 。 又 是 这 种 局 限 性 ,导致 了 防火 墙 缺 
少 上 层 功 能 。 

(4) 这 种 防火 墙 通常 容易 受到 利用 TCP/IP 规定 和 协议 栈 漏洞 的 攻击 ,例如 网 络 层 地 
址 欺骗 。 许 多 包 过 滤 防 火 墙 不 能 察觉 对 数据 包 OSI 第 三 层 的 地 址 信息 的 修改 。 入 侵 者 通 
常会 采用 欺骗 攻击 来 躲 过 防火 墙 的 安全 控制 。 

(5) 由 于 在 这 种 防火 墙 做 出 安全 控制 决定 时 ,起 作用 的 只 是 少数 几 个 因素 , 包 过 滤器 防 
火 墙 对 那 种 由 于 不 恰当 的 设置 而 导致 的 安全 威胁 显得 十 分 脆弱 。 换 句 话说 ,偶然 性 的 改动 
可 能 会 导致 防火 墙 允许 某 些 传输 类 型 . 源 地 址 和 目的 地 址 的 数据 包 通过 ,而 事实 上 按照 该 系 
统 的 安全 策略 ,这 些 数据 包 是 应 该 被 阻塞 的 。 

2. 状态 检测 防火 墙 

传统 的 包 过 滤器 仅仅 依据 各 个 数据 包 的 信息 就 对 其 实行 过 滤 操作 ,而 不 去 考虑 上 层 的 
上 下 文 内 容 。 简 单 包 过 滤 防 火 墙 必须 允许 所 有 使 用 高 端口 ( 介 于 1024 和 65535) 的 基于 
TCP 的 通信 通过 。 这 就 使 得 它 容 易 受 到 未 授权 的 用 户 的 使 用 。 

状态 检测 防火 墙 也 叫 自 适应 防火 墙 ,或 者 动态 包 过 滤 防 火 墙 。 状 态 检测 技术 的 原理 是 
利用 建立 的 外 向 TCP 连接 状态 表 ,来 跟踪 每 一 个 网 络 通信 会 话 的 状态 :加强 了 处 理 TCP 通 
信 的 规则 。 每 个 当前 建立 的 连接 都 记录 在 连接 状态 表 里 , 如 果 一 个 数据 包 的 目的 地 是 系统 
内 部 的 一 个 介 于 1024 和 65535 之 间 的 端口 ,而 且 它 的 信息 与 连接 状态 表 里 某 一 条 记录 相 
符 , 包 过 滤器 才 允 许 它 进 入 。 正 因为 如 此 .状态 检测 防火 墙 提供 了 更 完整 传输 层 控制 能 力 。 
状态 检测 包 过 滤 的 性 能 也 明显 优 于 简单 包 过 滤 防 火 墙 .这 个 特点 尤其 体现 在 规则 复杂 的 大 
型 网 络 上 。 

表 10-3 是 一 个 连接 状态 表 的 例子 。 


表 10-3 ”状态 检查 防火 墙 的 状态 表 的 一 个 实例 


源 地 址 源 端口 目的 地 址 目的 端口 连接 状态 
192. 168. 1. 100 1030 210. 9. 88. 29 80 已 建立 
192. 168. 1. 102 1031 216. 32. 42. 123 80 已 建立 
192. 168. 1. 101 1033 173. 66. 32. 122 25 已 建立 
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源 地 址 源 端 口 目的 地 址 目的 端口 连接 状态 
192. 168. 1. 106 1035 177.231.32.12 79 已 建立 
223. 43. 21, 231 1990 192. 168. 1. 6 80 已 建立 
219. 22. 123. 32 2112 192. 168. 1. 6 80 已 建立 
210. 99. 212. 18 3321 192. 168. 1. 6 80 已 建立 
24. 102. 32. 23 1025 192. 168. 1. 6 80 已 建立 
223. 212. 212 1046 192. 168. 1. 6 80 已 建立 
3. 应 用 层 网 关 


应 用 级 网 关 也 叫做 代理 服务 器 , 它 在 应 用 级 的 通信 中 扮演 着 一 个 消息 传递 者 的 角色 工 
作 在 OSI 的 最 高 层 , 即 应 用 层 。 其 特点 是 完全 阻隔 了 网 络 通信 流 , 通 过 对 每 种 应 用 服务 编 
制 专门 的 代理 程序 ,实现 监视 和 控制 应 用 层 通信 流 的 作用 。 其 典型 网 络 结构 如 图 10-7 


所 示 。 
[sse A 
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外 部 主机 ee 内 部 主机 


图 10-7 应 用 层 网 关 


在 某 种 意义 上 ,可 以 把 这 种 防火 墙 看 作 一 个 翻译 器 ,由 它 负 责 外 部 网 络 和 内 部 网 络 之 间 
的 通信 , 当 防 火 墙 两 端的 用 户 使 用 TELNET 和 FTP 之 类 的 TCP/IP 应 用 程序 时 ,两 端的 通 
信 终 端 不 会 直接 联系 ,而 是 由 应 用 层 的 代理 来 负责 转发 。 代 理会 截获 所 有 的 通信 内 容 , 如 果 
连接 符合 预定 的 访问 控制 规则 , 则 代理 将 数据 转发 给 目标 系统 ,目标 系统 回应 给 代理 ,然后 
代理 再 将 传 回 的 数据 送 回 客户 机 。 如 果 网 关 无 法 执行 某 个 应 用 程序 的 代理 码 ,服务 就 无 法 
执行 ,也 不 能 通过 防火 墙 发 送 。 而 且 , 网 关 可 以 被 设置 成 为 只 能 支持 网 络 管理 员 所 愿意 接受 
的 某 些 应 用 程序 ,而 拒绝 所 用 其 他 的 服务 。 在 这 种 特性 中 .由 于 网 络 连接 都 是 通过 中 介 来 实 
现 的 ,所 以 恶意 的 侵害 几乎 无 法 伤害 到 被 保护 的 真实 的 网 络 设备 。 

应 用 代理 网 关 防 火 墙 彻底 隔断 内 网 与 外 网 的 直接 通信 :内 网 用 户 对 外 网 的 访问 变 成 防 
火 墙 对 外 网 的 访问 ,然后 再 由 防火 墙 转发 给 内 网 用 户 。 所 有 通信 都 必须 经 应 用 层 代 理 软 件 
转发 ,访问 者 任何 时 候 都 不 能 与 服务 器 建立 直接 的 TCP 连接 :应 用 层 的 协议 会 话 过 程 必须 
符合 代理 的 安全 策略 要 求 。 

应 用 代理 网 关 的 优点 是 可 以 检查 应 用 层 、 传 输 层 和 网 络 层 的 协议 特征 ,对 数据 包 的 检测 
能 力 比 较 强 。 它 不 再 去 试图 处 理 TCP/IP 层 可 能 发 生 的 所 有 情况 ,一 一 考虑 它们 是 否 应 被 
允许 通过 ,而 是 只 需要 去 考虑 一 小 部 分 那些 允许 进行 的 应 用 程序 。 而 且 .在 应 用 层 上 进行 日 
志 管 理 和 通信 过 程 的 审查 要 容易 得 多 。 

应 用 代理 网 关 的 缺点 也 非常 突出 .主要 有 : 

(1) 难以 配置 。 由 于 每 个 应 用 都 要 求 单独 的 代理 进程 .这 就 要 求 网 管 能 理解 每 项 应 用 


第 10 章 系统 安全 233 


协议 的 弱点 ,并 能 合理 的 配置 安全 策略 ,由 于 配置 繁琐 ,难于 理解 ,容易 出 现 配置 失误 ,最 终 
影响 内 网 的 安全 防范 能 力 。 

(2) 处 理 速 度 非常 慢 。 因 为 对 于 内 网 的 每 个 访问 请 求 , 应 用 代理 都 需要 开 一 个 单独 的 
代理 进程 , 它 要 保护 内 网 的 Web 服务器、 数据库 服务 器 、 文 件 服务 器 、 邮 件 服务 器 及 业务 程 
序 等 ,就 需要 建立 一 个 个 的 服务 代理 ,以 处 理 客户 端的 访问 请 求 。 这 样 ,应 用 代理 的 处 理 延 
迟 会 很 大 。 

4. 电路 层 网 关 

第 三 种 防火 墙 是 电路 层 网 关 ( 见 图 10-8)。 电 路 层 网 关 工 作 在 会 话 层 , 它 不 允许 一 个 端 
到 端的 直接 TCP 连接 ,而 是 由 网 关 建 立 两 个 TCP 连接 ,一 个 连接 网 关 与 网 络 内 部 的 TCP 
用 户 ,一 个 连接 网 关 与 网 络 外 部 的 TCP 用户。 连接 建立 之 后 ,网 关 就 起 着 一 个 中 继 的 作用 ， 
将 数据 段 从 一 个 连接 转发 到 另 一 个 连接 。 它 通过 决定 哪个 连接 被 允许 建立 来 实现 其 对 安全 
性 的 保障 。 


SN .GT we _ 居 
一 
CA 


10-8 ”电路 层 网 关 


电路 层 网 关 的 一 个 应 用 的 例子 是 SOCKS 包 .RFC 1928 年 定义 了 SOCKS 5。SOCKS 
由 以 下 各 成 分 组 成 : 

。 SOCKS 服务 器 , 它 运行 在 一 个 基于 UNIX 系统 的 防火 墙 上 。 

。 SOCKS 客户 库 , 它 运行 在 防火 墙 保护 着 的 网 络 内 部 主机 上 。 

。 一 些 标准 客户 端 程序 .如 FTP 和 Telnet 的 SOCKS 版 本 。 

当 一 个 基于 TCP 的 客户 端 希望 与 一 个 只 有 通过 防火 墙 才 能 到 达 的 目标 建立 连接 时 , 它 
首先 必须 打开 一 个 与 SOCKS 服务 系统 上 某 个 合适 的 SOCKS 端口 的 TCP 连接 。SOCKS 
服务 使 用 的 TCP 端口 数 是 1080。 如 果 请 求 成 功 , 客 户 端 与 服务 系统 就 对 将 要 使 用 的 验证 
方法 进行 协商 ,然后 发 送 一 个 转发 请 求 ,这 个 请 求 必须 用 协商 得 出 的 方法 进行 验证 。 
SOCKS 服务 器 评估 这 个 请 求 决定 是 否 建立 相应 的 连接 。UDP 交换 也 以 类 似 的 步骤 来 
进行 。 

10.3.3 ”防火墙 的 配置 


除了 使 用 简单 的 系统 ,例如 单一 的 包 过 滤 路 由 器 或 网 关 这 样 的 防火 墙 之 外 ,还 有 着 
配置 更 为 复杂 的 防火 墙 ,事实 上 这 类 防火 墙 更 为 常用 。 图 10-9 给 出 了 三 种 常见 的 防火 墙 
配置 。 


234 计算 机 网 络 安全 


包 过 滤 
路 由 器 


包 过 滤 
路 由 器 


包 过 滤 
路 由 器 


信息 服务 器 
(0) 屏蔽 的 子 网 防火 墙 系统 
10-9 ”防火 墙 配 置 


调制 解 调 器 


1. 屏蔽 主机 防火 墙 ( 单 宿 堡垒 主机 ) 

堡垒 主机 是 由 防火 墙 的 管理 人 员 所 指定 的 某 个 系统 , 它 是 网 络 安全 的 一 个 关键 点 。 在 
防火 墙 体 系 中 ,堡垒 主机 有 一 个 到 公用 网 络 的 直接 连接 ,是 一 个 公开 可 访问 的 设备 ,也 是 网 
络 上 最 容易 遭受 人 侵 的 设备 。 堡 人 又 主机 必须 检查 所 有 出 人 的 流量 ,并 强制 实施 安全 策略 定 
义 的 规则 。 内 部 网 络 的 主机 通过 堡垒 主机 访问 外 部 网 络 . 内 部 网 也 需要 通过 堡垒 主机 向 外 
部 网 络 提供 服务 。 堡 人 又 主机 通常 作为 应 用 层 网 关 和 电路 层 网 关 的 服务 平台 。 单 宿 堡 又 主机 
指 只 有 一 个 网 络 接口 的 设备 .以 应 用 层 网 关 的 方式 运作 。 

在 单 宿 堡 又 主机 结构 中 ,防火 墙 包含 两 个 系统 : 一 个 包 过 滤 路 由 器 和 一 台 堡 人 又 主 机 。 
堡 特 主 机 是 外 部 网 主机 能 连接 到 的 唯一 的 内 部 网 上 的 系统 ,任何 外 部 系统 要 访问 内 部 网 的 
资源 都 必须 先 连接 到 这 台 主 机 。 路 由 器 按照 如 下 方式 配置 : 
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(1) 对 来 自 Internet 的 通信 ,只 允许 发 往 堡 公主 机 的 IP 包 通 过 。 

(2) 对 来 自 网 络 内 部 的 通信 ,只 允许 经 过 了 堡 公主 机 的 IP 包 通 过 。 

这 样 ,所 有 外 部 连接 只 能 到 达 堡 人 又 主机 ,所 有 内 部 网 的 主机 也 把 所 有 出 站 包 发 往 堡 垒 主 
机 。 堡 又 主机 执行 着 验证 和 代理 的 功能 。 这 种 配置 比 单一 包 过 滤 路 由 器 或 者 单一 的 应 用 层 
网 关 更 为 安全 。 

@ 这 种 配置 实现 了 网 络 层 和 应 用 层 的 过 滤 ,在 系统 安全 策略 允许 的 范畴 内 又 有 着 相当 
的 灵活 性 。 

@ 入 侵 者 必须 攻破 两 个 独立 的 系统 才 有 可 能 威胁 到 内 部 网 络 的 安全 。 

这 种 配置 较为 灵活 ,可 以 提供 直接 的 Internet 访问 。 一 个 例子 是 ,内 部 网 络 可 能 有 一 个 
如 Web 服务 器 之 类 的 公共 信息 服务 器 ,在 这 个 服务 器 上 ,高 级 的 安全 不 是 必需 的 ,这 样 , 就 
可 以 将 路 由 器 配置 为 允许 信息 服务 器 与 Internet 之 间 的 直接 通信 。 

2. 屏蔽 主机 防火 墙 ( 双 宿 堡 人 垒 主机) 

在 单 宿 堡垒 主机 体系 中 ,如 果 包 过 滤 路 由 器 被 攻破 ,那么 通信 就 可 以 越过 路 由 器 在 
Internet 和 内 部 网 络 的 其 他 主机 之 间 直 接 进 行 。 屏 蔽 主机 防火 墙 双 堡 又 主机 结构 在 物理 上 
防止 了 这 种 安全 漏洞 的 产生 ( 见 图 10-9(b))。 双 宿 堡 又 主机 具有 至 少 两 个 网 络 接口 。 外 部 
网 络 和 内 部 网 络 都 能 与 堡垒 主机 通信 ,但 是 不 能 直接 通信 ,它们 之 间 的 通信 必须 经 过 双 宿 堡 
人 又 主机 的 过 滤 和 控制 。 单 宿 堡垒 主机 体系 所 带 来 的 双重 安全 性 的 好 处 在 这 种 配置 里 依然 存 
在 。 而 且 , 信 息 服务 咒 或 者 其 他 的 主机 在 安全 策略 允许 的 范围 内 都 可 以 和 路 由 器 直接 通信 。 

双 宿 堡垒 主机 体系 结构 比较 简单 . 它 连接 内 部 网 络 和 外 部 网 络 ,相当 于 内 外 网 络 之 间 的 
跳板 ,能够 提供 高 级 别 的 安全 控制 ,可 以 完全 禁止 外 部 网 络 对 内 部 网 络 的 访问 ,同时 可 以 允 
许 内 部 网 络 用 户 通过 双 宿 堡垒 主机 访问 外 部 网 络 。 这 种 体系 的 弱点 是 ,一 旦 堡垒 主 机 被 攻 
破 成 为 一 个 路 由 器 , 则 外 部 网 络 用 户 可 以 直接 访问 内 部 网 络 资源 。 

3. 屏蔽 子 网 防火 墙 


如 图 10-9(Cc) 所 示 , 屏 项 子 网 防火 墙 是 我 们 所 探讨 的 配置 里 最 为 安全 的 一 种 。 在 这 种 配 
置 中 ,使 用 了 两 个 包 过 滤 路 由 器 ,一 个 在 堡垒 主机 和 Internet 之 间 , 称 为 外 部 屏蔽 路 由 器 ; 
另 一 个 在 堡垒 主机 和 内 部 网 络 之 间 . 称 为 内 部 屏蔽 路 由 器 。 每 一 个 路 由 器 都 被 配置 为 只 和 
堡垒 主机 交换 流量 。 外 部 路 由 器 使 用 标准 过 滤 来 限制 对 堡垒 主机 的 外 部 访问 ,内 部 路 由 器 
则 拒绝 不 是 堡 爸 主机 发 起 的 进入 数据 包 . 并 只 把 外 出 数据 包 发 给 堡垒 主机 。 这 种 配置 创造 
出 一 个 独立 的 子 网 , 子 网 可 能 只 包括 堡垒 主机 ,也 可 能 还 包括 一 些 公 众 可 访问 的 设备 和 服 
务 ,比如 一 台 或 者 更 多 的 信息 服务 器 以 及 为 了 满足 拨号 功能 而 配置 的 调制 解 调 器 。 这 个 独 
立 子 网 充当 了 内 部 网 络 和 外 部 网 络 之 间 的 缓冲 区 ,形成 一 个 隔离 带 , 即 所 谓 的 非 军 事 区 
(DeMilitarized Zone,DMZ)。 在 这 里 ,Internet 和 内 部 网 络 都 有 权 访 问 DMZ 子 网 里 的 主 
机 ,但 是 要 通过 子 网 的 通信 和 则 被 阻塞 。 这 种 配置 有 如 下 优点 : 

(1) 有 三 层 防御 来 抵御 入 侵 者 : 外 部 路 由 器 、 堡 公主 机 和 内 部 路 由 器 。 

(2) 外 部 路 由 器 只 能 向 Internet 通告 DMZ 子 网 ,Internet 上 的 系统 只 能 通过 外 部 路 由 
器 访问 DMZ 子 网 ; 因此 .内 部 网 络 对 于 Internet 而 言 是 不 可 见 的 。 

(3) 类 似 地 ,从 内 部 网 络 通过 内 部 路 由 器 也 只 能 得 知 子 网 的 存在 ; 因此 ,网 络 内 部 的 系 
统 无 法 构造 直接 到 Internet 的 路 由 ,必须 通过 堡 全 主机 才能 访问 Internet。 


1.1 什么 是 OSI 安全 框架 ? 
OSI 安全 体系 是 一 个 提供 了 安全 定义 和 特点 要 求 的 框架 ,并 提供 了 满足 这 些 要 求 的 系 


统 的 方式 方法 。 该 框架 定义 了 安全 攻击 ,安全 机 制 和 安全 服务 。 


1.2 被 动 和 主动 安全 威胁 之 间 有 什么 不 同 ? 
被 动 攻击 的 本 质 是 窃听 或 监视 数据 传输 ; 主动 攻击 包含 数据 流 的 改写 和 错误 数据 流 的 


添加 。 


1.3 列 出 并 简要 定义 被 动 和 主动 安全 攻击 的 分 类 。 

被 动 攻击 包括 信息 内 容 泄露 和 流量 分 析 。 

。 信息 内 容 泄 露 : 信息 收集 造成 传输 信息 的 内 容 汇 露 。 

。 流量 分 析 : 攻击 者 可 以 决定 通信 主机 的 身份 和 位 置 ,可 以 观察 传输 的 消息 的 频率 和 
长 度 。 这 些 信息 可 以 用 于 判断 通信 的 性 质 。 

主动 攻击 包括 假冒 . 重 放 改写 消 息 .拒绝 服务 。 

。 假冒 : 指 某 实体 假装 成 别 的 实体 。 

。 重 放 : 指 将 攻击 者 将 获得 的 信息 再 次 发 送 , 从 而 导致 非 授权 效应 。 

。， 改 写 消息 : 指 攻击 者 修改 合法 消息 的 部 分 或 全 部 ,或 者 延迟 消息 的 传输 以 获得 非 授 
权 作 用 。 

。 拒绝 服务 : 指 攻击 者 设法 让 目标 系统 停止 提供 服务 或 资源 访问 ,从 而 阻止 授权 实体 
对 系统 的 正常 使 用 或 管理 。 

1.4 列 出 并 简要 定义 安全 服务 的 分 类 。 

鉴别 服务 : 保证 通信 的 实体 是 它 所 声称 的 实体 。 

访问 控制 : 阻止 对 资源 的 非 授权 使 用 。 

数据 保密 性 : 保护 数据 免 于 非 授 权 泄 露 。 

数据 完整 性 : 保证 收 到 的 数据 确 是 授权 实体 所 发 出 的 数据 。 

不 可 和 否认 性 : 防止 整个 或 部 分 通信 过 程 中 , 任 一 通信 实体 进行 否认 的 行为 。 

1.5 列 出 并 简要 定义 安全 机 制 的 分 类 。 


特定 安全 机 制 普遍 的 安全 机 制 
可 以 并 人 适当 的 协议 层 以 提供 一 些 OSI 安全 服务 不 局 限于 任何 OSI 安全 服务 或 协议 层 的 机 制 
加 密 可 信 功 能 
运用 数学 算法 将 数据 转换 成 不 可 知 的 形式 。 数 据 | 据 某 些 标准 被 认为 是 正确 的 (例如 ,根据 安全 策略 


的 变换 和 复原 依赖 于 算法 和 零 个 或 多 个 加 密 密 钥 


所 建立 的 标准 ) 


附录 
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数字 签名 
附加 于 数据 元 之 后 的 数据 ,是 对 数据 元 的 密码 变 
换 ,以 使 得 (如 接收 方 ) 可 证 明 数 据 源 和 完整 性 ,并 
防止 伪造 

访问 控制 
对 资源 行使 存 取 控制 的 各 种 机 制 

数据 完整 性 
用 于 保证 数据 元 或 数据 单元 流 的 完整 性 的 各 种 
机 制 

认证 交换 
通过 信息 交换 来 保证 实体 身份 的 各 种 机 制 


流量 填充 
在 数据 流 空隙 中 插入 若干 位 以 阻止 流量 分 析 
路 由 控制 
能 够 为 某 些 数据 选择 特殊 的 物理 上 安全 的 路 线 并 多 
许 路 由 变化 (尤其 是 在 怀疑 有 侵犯 安全 的 行为 时 ) 
公证 


1 用 可 信 的 第 三 方 来 保证 数据 交换 的 某 些 性 质 


币 


续 表 
安全 标签 


资源 (可 能 是 数据 元 ) 的 标志 ,指明 该 资源 的 安全 
属性 


事件 检 侧 

检测 与 安全 相关 的 事件 
安全 审计 跟踪 

收集 可 用 于 安全 审计 的 数据 , 它 是 对 系统 记录 和 
行为 的 独立 回顾 和 检查 

安全 恢复 
处 理 来 自 安全 机 制 的 请 求 , 如 事件 处 理 ,管理 功能 
和 采取 恢复 行为 


第 2 章 对 称 密码 学 


2.1 对 称 密码 的 基本 因素 是 什么 ? 


对 称 密码 的 基本 因素 包括 明文 ,加密 算法 ,秘密 密 钥 、 密 文 .解密 算法 。 
2.2 两 个 人 通过 对 称 密码 通信 需要 多 少 个 密 钥 ? 


对 称 密码 通信 需 
2.3 ”攻击 密码 的 两 种 一 般 方法 是 什么 ? 
密码 分 析 与 穷 举 攻击 。 

2.4 简要 定义 Caesar 密码 。 


:一 个 密 钥 . 非 对 称 密码 通信 和 需要 两 个 密 钥 。 


Caeser 密码 简单 地 说 就 是 对 字母 表 中 的 每 个 字母 使 用 它 之 后 的 第 3 个 字母 来 代 换 。 


2.5 什么 是 置换 密码 ? 


置换 密码 就 是 保持 明文 的 字母 不 变 : 但 是 顺序 被 重新 排列 。 


2.6 单 表 置 换 。 


@ 使 加 法 密码 算法 称 为 对 合 运算 的 密 钥 & 称 为 对 合 密 钥 , 以 英文 为 例 求 出 其 对 合 密 
钥 ,并 以 明文 M 一 WEWILLMEETATMORNING 为 例 进行 加 解密 .说明 其 对 合 性 。 
@ 一 般 而 言 ,对 于 加 法 密码 , 设 明文 字母 表 和 和 密 文字 母 表 含 有 nn 个 字母 ,n 不 小 于 1 的 


正 整数 , 求 出 其 对 合 密 钥 4。 


答 @ 加 法 密码 的 明 密 文字 母 表 的 映射 公 


式 : 
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A 为 明文 字母 表 , 即 英文 字母 表 ; B 为 密 文字 母 表 。 
j=i+k mod 26 
其 中 ,显然 当 k==13 时 ,j= 二 i 十 13 mod 26, 于 是 有 i 二 j 十 13 mod 26。 此 时 加 法 密码 是 对 合 
的 。 称 此 密 钥 = 二 13 为 对 合 密 钥 。 
举例 : 因为 k= 二 13, 所 以 明文 字母 表 A 和 密 文 字母 表 B 为: 


二 | 慰 | 总 1 通 | 评 让 到 | 误 | 和 让 下 | 训 小 畴 让 下 天 | 二 | 总 要 | 现 | 得 | 总 | 寅 | 六 | 尝 | 入 -| 尖 | 第 1 总 
国医 :本 区 划 区 : 油 攻 二 区 :请 医 允 医 加 医 二 本 区 本 区 二 医治 医 :到 攻 : 习 医治 区 , 国 中 - 引 医 到 医 司 医 : 司 哑 到 时 训 攻 届 本 国医 
第 一 次 加 密 : 


M=WEWILLMEETATMORNING 
CjRIVYYZRRGDOGZBEAYVAT 
第 二 次 加 密 : 
C=WEWILLMEETATMORNING, 还 原 出 明文 ,这 说 明 当 k= 二 13 时 ,加 法 
密码 是 对 合 的 。 称 此 密 钥 为 对 合 密 钥 。 
@ 设 nn 为 模 , 若 为 偶数 , 则 k= 二 =n/2 为 对 合 密 钥 。 若 n 为 奇数 ,n/2 不 是 整数 , 故 不 存 
在 对 合 密 钥 。 
2.7 用 Vigenere 密码 加 密 单词 explanation . 密 钥 为 leg。 
答 ” 密 钥 为 legleglegle, 明 文 为 explanation , 密 文 为 PBVWETLXOZR 。 
2.8 假定 有 一 段 信息 要 用 Caesar 密码 进行 加 密 . 密 钥 K==2. 明 文 M=NUIST, 请 计算 
加 密 后 的 密 文 。 
答 PWKUYV 
2.9 分 组 密码 和 流 密码 的 区 别 是 什么 ? 
在 流 密码 中 ,加 密 和 解密 每 次 只 处 理 数据 流 的 一 个 符号 (如 一 个 字符 或 一 个 比特 )。 在 
分 组 密码 中 ,将 大 小 为 m(m1) 的 一 组 明文 符号 作为 整体 进行 加 密 . 创 建 出 相同 大 小 的 一 
组 密 文 。 典 型 的 明文 分 组 大 小 是 64 位 或 者 128 位 。 
2.10 什么 是 分 组 密码 ? 
答 ”分 组 密码 的 加 密 原理 是 将 明文 按照 某 一 规定 的 nbit 长 度 分 组 (最 后 一 组 长 度 不 够 时 
要 用 规定 的 值 填充 ,使 其 成 为 完整 的 一 组 ) .然后 使 用 相同 的 密 钥 对 每 一 分 组 分 别 进行 加 密 。 
2.11 DES 是 什么 ? 
答 ”DES 是 数据 加 密 标 准 的 简称 , 它 是 一 种 是 用 最 为 广泛 的 加 密 体 制 。 采 用 了 64 位 
的 分 组 长 度 和 56 位 的 密 钥 长 度 。 它 将 64 位 的 输入 经 过 一 系列 变换 得 到 64 位 的 输出 。 解 
密 则 使 用 了 相同 的 步骤 和 相同 的 密 钥 。 
2.12 DES 算法 第 16 轮 之 后 的 32 比特 互 换 使 得 DES 的 解密 过 程 与 加 密 过 程 一 样 .只 
是 密 钥 的 使 用 不 同 。 然 而 .为 什么 需要 这 32 比特 的 互 换 , 请 练习 下 面 的 例子 : 
A B= 将 串 A 和 串 B 连接 起 来 
T;(R LL) 二 = 加密 过 程 第 i 轮 迭 代 所 定义 的 变换 (i 不 为 1 和 16) 
TD;(R lL)== 解 密 过 程 第 i 轮 和 迭代 所 定义 的 变换 人 不 为 1 和 16) 
Tu (RL) 二 RTL, 加 密 过 程 第 16 轮 迭 代 之 后 的 变换 
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(1) 证 明 下 式 : 
TD,(IPCIP-: CT (Tye (Rys | L150))))= Rss | Lis 
(2) 假设 去 掉 了 加 密 算法 最 后 的 32 比特 的 交换 ,请 判断 下 式 是 否 成 立 : 
TD (IP(IP™ (Te (Ris | L150))) = Ris | Ls 
解 (1) 先 从 里 向 外 计算 。 过 程 如 下 : 
Ts CLis || Ris) = Le | Ra 
Ti (Lie | Ris)=Rie | Li 
IPLIP™ (Rye | Lis)]=Ri || Las 
TD (Rie || Lie)=Ris | Lis 
(2) Te CLis | Ras) 一 Lie | Rie 
IP[LIP™’ (Lie | Ris)J=Li | Ry 
TD (Rie | La) 一 Rie | Lye fCRie ,Ke) 
天 Las || Ris 
2.13 简 述 对 称 密码 的 优 缺 点 。 
答 ”优点 : 效率 高 ,算法 简单 ,系统 开销 小 ; 适合 加 密 大 量 数 据 ; 明文 长 度 与 密 文 长 度 相 等 。 
缺点 : 需要 以 安全 方式 进行 密 钥 交换 ; 密 钥 管 理 复杂 。 
2. 14 
(1) 根据 图 A. 1 解释 一 下 S 盒 的 作用 和 工作 原理 。 


48 比 特 寄 存 器 


上 二 二 
SI 5S | S4| |Ss Sol | S7 共 8 个 S 盒 


Ss 
4 比特 
1 YY 1 | 1 | 了 | 
32 比 特 寄存 器 


图 A.1 原理 图 


(2) 在 S 盒 1 中 , 若 输入 位 011001, 输 出 为 多 少 ? 

解 (1) S 盒 是 DES 算法 的 核心 , 它 是 算法 中 唯一 的 非 线性 部 分 ,是 算法 安全 的 关键 ， 
有 8 个 S 盒 ,每 个 S 盒 输入 6 位 .输出 4 位 , 即 输 入 48 位 .输出 32 位 ;输入 的 6 位 中 的 第 一 
位 和 第 六 位 表示 行 数 , 中 间 4 位 表示 列 数 .找到 S 盒 中 对 应 的 数值 。 

(2) 因为 输入 是 011001, 所 以 行 是 1(01) 

列 : 12(1100) 

根据 图 A. 2 可 知 ,第 一 行 第 十 二 列 的 数 是 9 

所 以 输出 为 : 1001 


14 4 13 1 2 15 11 8 10 6 12 5 外 “和 生 
0 15 7 4 14 2 13 1 0 6 12 31 9 5 3 8 
4 1 14 8 13 6 2 11 5 12 9 3 10 5 0 

15: 12 8 2 4 9 1 7 $M 3 14 10 0 6 13 
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2.15 Rijndael 和 AES 有 何不 同 ? 

答 Rijndael 允许 的 块 长 度 为 128、192 和 256 位 ,而 AES 只 允许 128 位 。 

2.16 行 移 位 变换 影响 了 State 中 的 多 少 字 节 ? 

答 12B。 

2.17 对 DES 和 AES 进行 比较 :说明 两 者 的 特点 和 优 缺 点 。 

答 DES: 分 组 密码 ,Feist 结构 ,明文 密 文 64 位 ,有 效 密 钥 56 位 ; 有 弱 密 钥 , 有 互补 对 
称 性 ; 适合 硬件 实现 ,软件 实现 麻烦 ; 安全 ; 算法 是 对 合 的 。 

AES: 分 组 密码 ,SP 结构 ,明文 密 文 128 位 , 密 钥 长 度 可 变 三 128 位 ; 无 弱 密 钥 ,无 互补 
对 称 性 ; 适合 软件 和 硬件 实现 ; 安全 ; 算法 不 是 对 合 的 。 

2.18 

(1) 在 GF(2) 上 {01}) 的 道 是 什么 ? 

(2) 验证 401)} 在 S 盒 中 的 输入 。 

解 (1) (01)。 

《2 
0 


SR eo 
= eae © 
© 


© HS i ky 天 hs 

OO 一 一 一 
be 

OO OOPe Ee 


结果 位 : {7C} 
2.19 当 128 位 的 密 钥 全 是 0 时 .给 出 密 钥 扩展 数组 中 的 前 8 个 字 节 。 
解 
w(0)={00 00 00 00}; w(1)={00 00 00 00}; w(2)= {00 00 00 00}; w(3)= {00 00 00 00}); 
w(4)=1{62 63 63 63}; w(5)={62 63 63 63}; w(6)={62 63 63 63}; w(7)={62 63 63 63}。 
2.20 使 用 密 钥 1010 0111 0011 1011 来 加 密 表 示 为 ASCII 码 的 明文 ok, 即 
0110 ”1111 0110 1011。 由 S-AES 可 得 出 密 文 0000 0111 0011 1000 吗 ? 
答 ” 密 钥 扩展 : 
Wo0O=1010 0111 W1=0011 1011 W2=0001 1100 W3=0010 0111 
W4=0111 0110 W5=0101 0001 
第 0 轮 : 
轮 密 钥 加 后 : 1100 1000 0101 0000 
第 1 轮 : 
字 节 代 换 : 1100 0110 0001 1001 
行 移 位 : 1100 1001 0001 0110 
列 混淆 : 1110 1100 1010 0010 
轮 密 钥 加 : 1110 1100 1010 0010 
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第 2 轮 
字 节 代 换 : 1111 0000 1000 0101 
行 移 位 : 0111 0001 0110 1001 
轮 密 钥 加 : 0000 0111 0011 1000 
2.21 链 路 层 加 密 和 端 到 端 加 密 的 区 别 是 什么 ? 
答对 于 链 路 层 加 密 ,每 条 易 受 攻击 的 通信 链 路 都 在 其 两 端 装 备 加 密 设 备 。 所 以 通信 
链 路 的 所 以 通信 都 受到 保护 ,提供 了 较 高 的 安全 性 。 
对 于 端 到 端 加 密 ,加 密 过 程 在 两 个 端 系统 上 实现 。 源 主机 和 终端 加 密 数据 ,该 数据 以 加 
密 过 的 形式 ,通过 网 络 不 可 变更 地 传输 到 目的 地 终端 或 者 主机 。 
2.22 ”会话 密 钥 和 主 密 钥 的 区 别 是 什么 ? 
答 ” 主 密 钥 是 被 客户 机 和 服务 器 用 于 产生 会 话 密 钥 的 一 个 密 钥 。 这 个 主 密 钥 被 用 于 产 
生 客 户 端 读 密 钥 , 客 户 端 写 密 钥 ,服务 器 读 密 钥 ,服务 器 写 密 钥 。 主 密 钥 能 够 被 作为 一 个 简 
单 密 钥 块 输出 。 
会 话 密 钥 是 指 当 两 个 端 系统 希望 通信 ,他 们 建立 一 条 逻辑 连接 。 在 迎 辑 连接 持续 过 程 
中 ,所 以 用 户 数据 都 使 用 一 个 一 次 性 的 会 话 密 钥 加 密 。 在 会 话 和 连接 结束 时 ,会 话 密 钥 被 
销毁 。 
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3.1 公 钥 加 密 系 统 的 基本 组 成 元 素 是 什么 ? 

答 ”明文 ,加 密 算法 , 公 钥 和 私 钥 , 密 文 , 解 密 算法 。 

3.2 私 钥 和 密 钥 之 间 有 什么 区 别 ? 

答 ”传统 加 密 算法 中 使 用 的 密 钥 被 特别 地 称 为 密 钥 .用 于 公 钥 加 密 的 两 个 密 钥 被 称 为 
公 钥 和 私 钥 。 私 钥 总 是 保密 的 ,但 仍然 被 称 作 私 钥 而 不 是 密 钥 ,这 是 为 了 避免 与 传统 加 密 
混 消 。 

3.3 公 钥 和 私 钥 的 作用 是 什么 ? 

答 用户 的 私 钥 只 有 用 户 自 己 知道 ,其 他 人 都 不 知道 ; 而 用 户 的 公 钥 则 是 向 外 公开 的 ， 
其 他 的 人 都 可 以 使 用 。 使 用 私 钥 加 密 的 消息 .用 户 之 外 的 人 都 可 以 使 用 公 钥 进行 解密 ,而 使 
用 公 钥 加 密 的 消息 ,只 有 用 户 自己 使 用 私 钥 才能 解密 。 

3.4 什么 是 单 向 函数 ? 

答 单 向 函数 是 满足 下 列 性 质 的 函数 : 每 个 函数 值 都 存在 唯一 的 逆 ; 对 定义 域 中 的 任 
意 z, 计 算 函 数值 f(x) 是 非常 容易 的 ; 但 对 f 的 值 域 中 的 所 有 y ,计算 广 :(Cy) 在 计算 上 也 
是 不 可 行 的 , 即 求 逆 是 不 可 行 的 。 

3.5 使 用 RSA 算法 对 下 列 数据 实现 加 密 和 解密 : 

(1) p=3; g=11; e 一 7; M 一 5 

42 Plre= MM=9 

(3) p=7; g=11; e=17; M=8 

(4) p=11; g=13; e=11; M=7 
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解 (1) "一 33;， (n)= 二 20; d= 二 3; C 一 26。 
(2) n=55; (n)=40; d=27; C=14。 
(3) n=77; (n)=60; d=53; C 一 57。 
(4) n=143; (n)=120; d=11; C=106。 
3.6 在 使 用 RSA 的 公 钥 体制 中 ,已 截获 发 给 某 用 户 的 密 文 C= 二 10, 该 用 户 的 公 和 钥 
e 一 5,7 一 35, 那 么 明文 M 等 于 多 少 ? 
解 M=5。 
3.7 ” 公 钥 密码 学 有 关 密 钥 分 配 的 两 种 不 同 用 途 是 什么 ? 
答 ” 公 和 钥 的 分 配 和 用 于 传统 密码 体制 的 密 钥 分 配 。 
3.8 列举 四 种 公 钥 分 配方 法 ? 
答 ”公开 发 布 . 公 开 可 访问 目录 、 公 钥 授 权 和 公 钥 证 书 。 
3.9 ”使 用 公 钥 证 书 方案 应 满足 哪些 要 求 ? 
答 ” (1) 任何 通信 方 都 可 以 读 取证 书 并 确定 证 书 拥有 者 的 姓名 和 公 钥 。 
(2) 任何 通信 方 都 可 以 验证 证 书 出 自 证 书 管理 员 ,而 不 是 伪造 的 。 
(3) 只 有 证 书 管理 员 才 能 产生 并 更 新 证 书 。 
(4) 任何 通信 方 都 可 以 验证 证 书 的 当前 性 。 
3.10 简要 说 明 Diffie-Hellman 密 钥 交换 。 
答 在 这 种 方法 中 ,有 两 个 全 局 公开 的 参数 ,一 个 素数 g 和 一 个 整数 a, 并 且 a 是 g 的 一 
个 原 根 。 假 定 用 户 A 和 也 希望 协商 一 个 共享 的 密 钥 以 用 于 后 续 通信 ,那么 用 户 A 选择 一 个 
随机 整数 XA< 一 d 作为 其 私 钥 , 并 计算 公 钥 Ys 二 a** mod g。 类 似 地 ,用 户 BB 也 独立 地 选择 一 
个 随机 整数 Xs 二 g 作为 私 钥 , 并 计算 公 钥 Ys 二 a*s mod g。A 和 BB 分别 保持 XA 和 Xs 是 其 
私有 的 ,但 YA 和 Yes 是 公开 可 访问 的 。 用 户 A 计算 K= 二 (Ys)*s mod dg 并 将 其 作为 密 钥 ,用 
户 了 计算 民 = 王 (YA)xamod g 并 将 其 作为 密 钥 。 
3.11 用 户 A 和 B 使 用 Diffie-Hellman 密 钥 交换 技术 来 交换 密 钥 , 设 公用 素数 q 王 71， 
本 原 根 a 二 7。 
(1) 若 用 户 A 的 私 钥 XX 二 5, 则 A 的 公 钥 YA 为 多 少 ? 
(2) 若 用 户 B 的 私 钥 Xs 二 12, 则 B 的 公 钥 Ys 为 多 少 ? 
(3) 共享 的 密 钥 为 多 少 ? 
解 (1) YA 一 75 mod 71 一 51 。 
(2) Ys=7!: mod 71 一 4。 
(3) K=4 mod 71 一 30。 
3.12 设 Diffie-Hellman 方法 中 ,公用 素数 g= 王 11. 本 原 根 xc 一 2: 
(1) 证 明 2 是 11 的 本 原 根 。 
(2) 若 用 户 A 的 公 钥 YA 一 9. 则 A 的 私 钥 XA 为 多 少 ? 
(3) 若 用 户 B 的 公 钥 Ya 王 3. 则 共享 的 密 钥 K 为 多 少 ? 
解 (1) 由 %(11) 一 10。 
2 一 1024 一 1 mod 11 
可 以 检验 2” 当 n 二 10 时 ,不 会 找到 1 mod 11 的 值 .证 毕 。 
(2) 6, 因 为 2 mod 11 一 9。 
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(3) K=3° mod 11= 3。 
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4.1 消息 认证 是 对 付 哪些 类 型 的 攻击 ? 

答 攻击 类 型 有 伪造 内容 算 改 .序号 簧 改修 改 和 时 间 自 改 。 

4.2 消息 认证 有 哪 两 层 功能 ? 

答 ”底层 是 一 个 鉴别 函数 ,其 功能 是 产生 一 个 鉴别 符 , 鉴 别 符 是 一 个 用 来 鉴别 消息 的 
值 , 即 鉴别 的 依据 。 在 此 基础 上 ,上 层 的 鉴别 协议 调用 该 鉴别 函数 ,实现 对 消息 真实 性 和 完 
整 性 的 验证 。 鉴 别 函数 是 决定 鉴别 系统 特性 的 主要 因素 。 

4.3 列举 鉴别 函数 的 3 种 方法 。 

答 ”基于 消息 加 密 ,基于 消息 鉴别 码 C(MAC) ,基于 散 列 函数 。 

4.4 什么 是 MAC? 

消息 鉴别 码 (MAC) ,又 称 密码 校 验 和 ,也 是 一 种 鉴别 技术 。MAC 实现 鉴别 的 原理 是 : 
用 公开 函数 和 密 钥 生成 一 个 固定 大 小 的 小 数据 块 , 即 MAC, 并 将 其 附加 在 消息 之 后 传输 。 
接收 方 利用 与 发 送 方 共享 的 密 钥 进行 鉴别 。 

4.5 对 于 消息 认证 , 散 列 函数 必须 具有 什么 性 质 才 可 以 用 ? 

答 ”必须 具备 单 向 性 、 强 对 抗 碰撞 性 和 弱 对 抗 碰撞 性 。 

4.6 在 下 述 站 点 认证 协议 中 函数 了 起 什么 作用 ? 去 掉 f 行 不 行 ? 为 什么 ? 

设 A,B 是 两 个 站 点 ,A 是 发 方 ,B 是 收 方 。 它 们 共享 会 话 密 钥 K,.f 是 公开 的 简单 函 
数 。A 认证 B 是 否 是 他 的 意 定 通信 站 点 的 协议 如 下 : 

(1) A 产生 一 个 随机 数 RN ,并 用 K, 对 其 进行 加 密 : C 王 ECRN ,天 .), 并 发 C 给 B。 同 
时 A 对 RN 进行 了 变换 ,得 到 FCRN) 。 

(2) B 收 到 C 后 ,解密 得 到 RN 二 D(C,K.)。B 也 对 RN 进行 f 变换 ,得 到 FCRN) ,并 
将 其 加 密 成 C' 二 EC(f(RN) ,K,) ,然后 发 C' 给 A。 

A 对 收 到 的 C' 解 密 得 到 A(RN), 并 将 其 与 自己 在 第 步 得 到 的 /(RN) 比 较 。 若 两 者 
相等 , 则 A 认为 BB 是 自己 的 意 定 通信 站 点 。 否 则 A 认为 BB 不 是 自己 的 意 定 通信 站 点 。 

答 去掉 /是 不 行 的 。 如 果 去 掉 f, 则 在 第 @ 步 的 操作 不 需要 密 钥 ,于 是 非 授 权 者 截获 
RN 二 D(C,K,) 后 ,发 给 A.,A 不 能 察觉 C。 于 是 C 假冒 成 果 。 不 去 掉 f 时 ,在 第 @ 步 的 操作 
需要 密 钥 ,于 是 非 授权 者 没有 密 钥 .不 能 冒充 。 

4.7 简要 说 明 SHA-512 所 使 用 的 算法 逻辑 过 程 。 

答 〈1) 附加 填充 位 ; 

(2) 附加 长 度 ; 

(3) 初始 化 散 列 缓冲 区 ; 

(4) 以 1024 比特 的 分 组 为 单位 处 理 信息 ; 

(5) 输出 。 

4.8 给 出 SHA-512 中 Wie .W :Wis .Wis 的 值 。 

答 ”Wis 二 WoDBoo (Wi1)DW, Do Wu) 
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Wi =W1iDo (Ws DW Do Wis) 
Wis =W,Doo (Ws )DWun Do Wie) 
Wis =Ws Do (Wi) DW Da (Wi11) 


第 5 章 数字 签名 


5.1 什么 是 数字 签名 ? 

答 A 想 给 B 发 送 消息 ,B 收 到 密 文 时 , 它 能 够 用 A 的 公 钥 进行 解密 ,从 而 证 明 这 条 消 
息 确 实 是 A 加 密 的 ,因为 没有 其 他 人 拥有 A 的 私 钥 ,所 以 其 任何 人 都 不 能 创建 用 A 的 公 钥 
能 够 解密 的 密 文 。 因 此 ,整个 加 密 的 消息 就 成 为 一 个 数字 签名 。 

5.2 数字 签名 必须 包含 的 特征 是 什么 ? 

答 

(1) 可 验证 性 。 信 息 接收 方 必须 够 验证 发 送 方 的 签名 是 否 真 实 有 效 。 

(2) 不 可 伪造 性 。 除 了 签名 人 之 外 ,任何 人 不 能 伪造 签名 人 的 合法 签名 。 

(3) 不 可 否认 性 。 发 送 方 在 发 送 签名 的 消息 后 ,无 法 抵赖 发 送 的 行为 ; 接收 方 在 收 到 
消息 后 ,也 无 法 否认 接收 的 行为 。 

(4) 数据 完整 性 。 数 字 签名 使 得 发 送 方 能 够 对 消息 的 完整 性 进行 校 验 。 因 此 ,数字 签 
名 具有 消息 鉴别 的 功能 。 

s.3 数字 签名 根据 方法 可 分 为 哪 两 类 ? 

答 直接 数字 签名 和 仲裁 数字 签名 。 

5.4 什么 是 公 钥 证 书 ? 

答 ” 公 钥 证 书 由 公 钥 加 上 所 有 者 的 用 户 ID 以 及 可 信 的 第 三 方 签名 的 整个 数据 块 组 成 。 

s.5 公 钥 加 密 如 何 用 来 分 发 密 钥 ? 

答 


(1) 准备 消息 。 

(2) 利用 一 次 性 传统 会 话 密 钥 , 使 用 传统 加 密 方法 加 密 消息 。 
(3) 利用 对 方 的 公 钥 ,使 用 公 钥 加 密 的 方法 加 密会 话 密 钥 。 
(4) 把 加 密 的 会 话 密 钥 附 在 消息 上 ,并 且 把 它 发 送 给 对 方 。 


第 6 章 身份 认证 


6.1 设计 KERBEROS 是 为 了 解决 什么 问题 ? 

答 ”假设 在 一 个 开放 的 分 布 式 环境 中 :工作 站 的 用 户 希 望 得 到 分 布 在 网 络 各 处 的 服务 
器 的 服务 。 和 希望 服务 器 能 够 将 访问 权限 限制 在 授权 用 户 范 围 内 ,并 且 能 够 认证 服务 请 求 。 

6.2 在 网 络 或 Internet 上 .与 用 户 认 证 有 关 的 三 个 威胁 是 什么 ? 

E 


合 


(1) 一 个 用 户 可 能 进入 一 个 特定 的 工作 站 ,并 冒充 使 用 那个 工作 站 的 其 他 用 户 。 


附录 习题 245 


(2) 一 个 用 户 可 能 改变 一 个 工作 站 的 网 络 地 址 ,使 得 从 此 工作 站 发 出 的 请 求 好 像 是 从 
被 伪装 的 工作 站 发 出 的 。 

(3) 一 个 用 户 可 能 窃听 信息 交换 ,并 使 用 重 放 攻击 来 获取 连接 服务 器 ,或 者 是 破坏 正常 
操作 。 

6.3 列 出 在 分 布 式 环境 下 进行 安全 用 户 认 证 的 三 种 方式 。 

答 

(1) 依靠 每 个 用 户 工作 站 来 确认 用 户 或 用 户 组 ,并 依靠 每 个 服务 器 通过 给 予 每 个 用 户 
身份 的 方法 来 强制 实施 安全 方案 。 

(2) 要 求 服务 器 对 用 户 系 统 进行 认证 ,在 用 户 身 份 方面 信任 用 户 系 统 。 

(3) 需要 用 户 对 每 个 调用 的 服务 证 明 自 己 的 身份 ,也 需要 服务 器 向 用 户 证 明 他 们 的 
身份 。 

6.4 ”对 Kerberos 提出 的 四 点 要 求 是 什么 ? 

答 安全 可靠. 透明 .可 伸缩 。 

6.5 一 个 提供 全 套 Kerberos 服务 的 环境 由 哪些 实体 组 成 ? 

答 一 台 Kerberos 服务 器 和 若干 客户 端 以 及 若干 应 用 服务 器 。 

6.6 在 Kerberos 环境 下 . 域 指 什么 ? 

答 一 个 提供 全 套 服 务 的 Kerberos 环境 被 称 为 Kerberos 域 。 

6.7 Kerberos 版 本 4 和 版 本 5 的 主要 区 别 由 哪些 ? 

答 版 本 5 要 解决 版 本 4 在 两 方面 的 局 限 : 环境 方面 的 不 足 和 技术 山 的 缺陷 。 

6.8 X.509 标准 的 目的 是 什么 ? 

答 

(1) X. 509 定义 了 一 个 使 用 X. 500 目录 向 其 用 户 提 供认 证 服务 的 框架 。 

(2) X. 509 是 一 个 重要 的 标准 ,因为 X. 509 中 定义 的 证 书 结构 和 认证 协议 在 很 大 环境 
下 都 会 使 用 。 

(3) X. 509 最 初 发 布 于 1988 年 。 

(4) X. 509 基于 公 钥 加 密 体制 和 数字 签名 的 使 用 。 

6.9 怎样 撤销 X. S09 证 书 ? 

答 每 一 个 存放 在 目录 中 的 证 书 撤销 列表 都 由 证 书 发 放 者 签名 ,并且 包 括 : 发 放 者 的 
名 称 ,列表 创建 日 期 ,下 一 个 CRL 计划 发 放 日 期 和 每 一 个 被 撤销 证 书 的 入 口 。 当 用 户 从 消 
息 中 得 到 证 书 时 ,必须 要 确定 证 书 是 否 被 撤销 。 用 户 可 以 在 每 次 收 到 证 书 时 检查 目录 。 为 
了 避免 由 目录 搜索 带 来 的 延迟 ,用 户 可 以 维护 一 个 记录 证 书 和 被 撤销 证 书 列表 的 本 地 缓存 。 


第 7 章 IP 安 全 


7.1 IPSec 提供 哪些 服务 ? 

答 ”访问 控制 .无 连接 完整 性 .数据 源 认证 ,拒绝 重 返 包 \ 保 密 性 有限 的 通信 和 量 机 密 性 。 
7.2 哪些 参数 表示 了 SA .哪些 参数 表现 了 一 个 特定 SA 的 本 质 ? 

答 ”序列 号 计数 器 ,序列 计数 器 溢出 , 防 重 放 窗 口 ,.AH 信息 ,ESP 信息 ,此 安全 关联 的 
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生存 期 ,IPSec 协议 模式 ,最 大 传输 单元 路 径 , 安 全 关联 选择 器 。 

7.3 传输 模式 与 隧道 模式 有 何 区 别 ? 

答 ”传输 模式 是 对 IP 载荷 和 IP 包头 的 选中 部 分 ,IPv6 的 扩展 报头 进行 认证 ; 隧道 模 
式 是 对 整个 内 部 IP 包 和 外 部 IP 报头 的 选中 部 分 ,外 部 IPv6 的 扩展 报头 进行 认证 。 

7.4 ”什么 是 重 放 攻击 ? 

答 ” 重 放 攻 击 是 指 攻击 者 在 得 到 一 个 经 过 认证 的 包 后 .在 后 来 将 其 传送 到 目的 站 点 的 
行为 。 

7.5 为 什么 ESP 包括 一 个 填充 域 ? 

答 ESP 格式 需要 填充 长 度 和 邻接 头 域 为 右 对 齐 的 32 为 字 , 以 及 密 文 长 度 需 要 32 位 
的 整数 倍 , 不 足 位 用 填充 域 来 确保 。 
7.6 捆绑 SA 的 基本 方法 是 什么 ? 
答 
(1) 传输 临界 : 这 种 方法 指 在 没有 激活 隧道 的 情况 下 ,对 一 个 IP 包 使 用 多 个 安全 协议 。 
(2) 隧道 迭代 : 指 通 过 IP 隧道 应 用 多 层 安 全 协议 。 


第 8 章 电子 邮件 安全 


8.1 PGP 提供 的 5 种 主要 服务 是 什么 ? 

答 ”数字 签名 .消息 加 密 、 压 缩 .电子 邮件 兼容 性 和 分 段 

8.2 分 离 签名 的 用 途 是 什么 ? 

答 ”分离 签 名 可 以 与 其 签名 的 消息 分 开 存 储 和 传送 ,这 在 许多 情况 下 都 有 用 。 

8.3 PGP 为 什么 在 压缩 前 生成 签名 ? 

答 ”一 是 对 未 压缩 的 消息 进行 签名 可 以 保存 未 压缩 的 消息 和 签名 供 未 来 验证 时 使 用 ; 
二 是 即使 有 人 想 动态 地 对 消息 重新 压缩 后 进行 验证 ,用 PGP 现 有 的 压缩 算法 仍然 会 比较 
困难 。 

8.4 什么 是 base 64 转换 ? 

答 一 组 三 个 8 比特 二 进 制 数据 映射 为 4 个 ASCII 码 字 符 。 

8.5 电子 邮件 应 用 为 什么 使 用 base 64 转换 ? 

答 电子 邮件 工具 通常 限制 消息 的 最 大 长 度 。 未 来 适应 这 个 限制 ,PGP 自动 将 长 消息 
分 段 ,使 之 可 以 通过 电子 邮件 发 送 。 分 段 在 所 以 其 他 操作 (包括 base 64 转换 ) 治 好 进行 。 
因此 ,会 话 密 钥 和 签名 部 分 仅 在 第 一 个 分 段 的 开始 出 现 。 

8.6 ”RFC 822 是 什么 ? 

答 ” RFC 822 定义 了 一 种 电子 邮件 传输 的 文本 消息 格式 .这 是 一 种 被 广泛 使 用 的 基于 
Internet 传递 的 文本 邮件 标准 。 

8.7 MIME 是 什么 ? 

答 是 指 多 用 途 网 际 邮 件 扩 展 是 对 RFC 822 框架 的 扩展 ,用 于 解决 关于 电子 邮件 的 
SMTP ,简单 邮件 传输 或 其 他 邮件 传输 协议 和 RFC 822 存在 的 一 些 问题 和 局 限 性 。MIME 
增强 了 电子 邮件 报 文 的 能 力 ,允许 传输 二 进 制 数据 。MIME 编码 技术 用 于 将 数据 从 8 位 的 
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编码 格式 转换 成 7 位 的 ASCII 码 格式 。 

8.8 S/MIME 是 什么 ? 

答 S/MIME 是 基于 RSA 数据 安全 性 ,对 Internet 电子 邮件 格式 标准 MIME 的 安全 
性 增强 。 虽 然 PGP 和 S/MIME 都 基于 IETF 标准 .但 S/MIME 侧重 于 适合 商业 和 团体 使 
用 的 工业 标准 . 

8.9 S/MIME 有 哪些 功能 ? 

答 SVMIME 提供 的 功能 包括 封装 数据 .签名 数据 .透明 签名 数据 .签名 并 封装 数据 。 


第 9 章 Web 安全 性 


9.1 SSL 由 哪些 协议 组 成 ? 

答 ”SSL 记录 协议 .SSL 握手 协议 ,SSL 密码 变更 规格 协议 ,SSL 报警 协议 。 

9.2 SSL 连接 和 SSL 会 话 之 间 的 区 别 是 什么 ? 

答 连接 是 一 种 能 够 提供 合适 服务 类 型 的 传输 。SSL 会 话 是 客户 与 服务 器 之 间 的 一 

9.3 列 出 定义 SSL 会 话 状 态 的 参数 ,并 简要 给 出 各 参数 的 定义 。 

答 会话 标 识 : 服务 器 用 于 标识 活动 的 或 恢复 的 会 话 状态 所 选 的 一 个 随机 字 节 序列 。 

同位 体 证 书 : 同位 体 的 X. 509 v3 证 书 , 此 状态 元 素 可 以 为 空 。 

压缩 方法 : 在 加 密 前 使 用 的 压缩 数据 的 算法 。 

密码 规范 : 描述 主要 数据 加 密 算法 (如 NULL、AES 等 ) 和 计算 MAC 的 散 列 算法 (如 
MD5 或 SHA-1) ,同时 也 定义 如 散 列 大 小 等 加 密 属性 。 

主 密码 : 客户 和 服务 器 间 48 字 节 的 共享 密码 。 

可 恢复 性 : 表明 会 话 是 否 可 被 用 于 初始 化 新 连接 的 标志 。 

9.4 列 出 定义 SSL 会 话 连接 的 参数 .并 简要 给 出 各 参数 的 定义 。 

答 服务 器 和 客户 端 随 机 数 : 服务 器 和 客户 端 为 每 个 连接 选择 字 节 序列 。 

服务 器 写 MAC 密码 : 服务 器 发 送 数据 时 在 MAC 操作 中 使 用 的 密码 。 

客户 端 写 MAC 密码 : 客户 端 发 送 数 据 时 在 MAC 操作 中 使 用 的 密码 。 

服务 器 写 密 钥 : 服务 器 加 密 和 客户 端 解密 数据 时 使 用 的 传统 加 密 密 钥 。 

客户 端 写 密 钥 : 客户 端 加 密 和 服务 器 解密 数据 时 使 用 的 传统 加 密 密 钥 。 

初始 化 向 量 : 使 用 CBC 时 .需要 为 每 个 密 钥 维护 一 个 初始 化 向 量 IV。 该 域 首先 被 SSL 
握手 协议 初始 化 ,其 后 .每 个 记录 的 最 后 一 个 密码 块 被 保存 ,以 作为 后 续 记 录 的 IV。 

序列 号 : 会 话 的 各 方 为 每 个 连接 传送 和 接收 消息 维护 一 个 单独 的 序列 号 。 当 接收 或 发 
送 一 个 修改 密码 规范 协议 报 文 时 .序列 号 被 设 为 0。 序 列 号 不 能 超过 2% 一 1。 

9.5 SSL 记录 协议 提供 了 哪些 服务 ? 

答 ”SSL 记录 协议 提供 了 两 种 服务 : 

保密 性 : 握手 协议 定义 了 加 密 SSL 载荷 的 传统 加 密 共 享 密 钥 。 

消息 完整 性 : 握手 协议 也 定义 了 生成 消息 认证 代码 (MAC) 的 共享 密 钥 。 
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9.6 SSL 记录 协议 执行 过 程 中 涉及 到 哪些 步骤 ? 

答 ” 先 将 数据 分 段 成 可 操作 的 块 .然后 选择 压缩 或 不 压缩 数据 ,再 生成 MAC, 加 密 , 添 
加 头 并 将 最 后 的 结构 作为 一 个 TCP 分 组 送出 。 

9.7 列 出 SET 的 主要 参与 者 .并 简要 给 出 他 们 的 定义 。 

答 ” 持 卡 人 : 在 电子 环境 中 ,消费 者 和 公司 购买 者 使 用 个 人 电脑 与 商家 通过 Internet 
进行 交互 。 

商家 : 商家 是 拥有 持 卡 人 所 需 商品 或 服务 的 个 人 或 组 织 。 

发 卡 机 构 : 发 卡 机 构 是 能 够 为 持 卡 者 提供 支付 卡 的 金融 机 构 。 

清算 银行 : 为 商家 建立 账号 的 金融 机 构 ,处 理 支付 卡 认 证 和 支付 。 

支付 网 关 : 由 清算 银行 或 指定 的 第 三 方 提供 的 功能 ,处 理 商 家 支付 信息 。 

认证 机 构 : 被 信任 的 、 为 持 卡 人 、 商 家 和 支付 网 关 发 行 X. 509 v3 公 钥 证 书 的 实体 。 

9.8 双向 签名 目的 是 什么 ”过 程 如 何 ? 

答 ”双向 签名 的 目的 在 于 将 两 个 接收 者 不 同 的 消息 连接 起 来 。 过 程 如 下 : 

客户 想 给 商家 发 送 订 购 信 息 (OD ,给 银行 发 送 支 付 信息 (PIT) 。 

(1) 商家 接收 OI 并 验证 签名 。 

(2) 银行 接收 PI 并 验证 签名 。 

(3) 客户 链接 OI 和 PI, 可 以 证 明 此 连接 。 


第 10 章 系统 安全 


10.1 计算 机 病毒 的 概念 及 特征 是 什么 ? 

答 ”计算 机 病毒 是 一 种 人 为 编制 的 .能 够 对 计算 机 正常 程序 的 执行 或 数据 文件 造成 破 
坏 , 并 且 能 够 自我 复制 的 一 组 指令 程序 代码 。 

计算 机 病毒 具有 以 下 特征 : 传染 性 、 隐 项 性 .潜伏 性 、 多 态 性 、 破 坏 性 。 

10.2 什么 是 蠕虫 病毒 ? 具有 了 哪些 技术 特性 ? 

答 ”蠕虫 病毒 是 一 种 结合 黑客 技术 和 计算 机 病毒 技术 .利用 系统 漏洞 和 应 用 软件 的 漏 
洞 进 行 传播 ,通过 复制 自身 将 恶意 病毒 传播 出 去 的 程序 代码 。 

蠕虫 病毒 具有 如 下 的 技术 特性 : 跨 平台 、 多 种 攻击 手段 . 极 快 的 传播 速度 、 多 态 性 、 可 变 
形 性 ,传输 载体 、 零 时 间 探 测 利 用 。 

10.3 ”病毒 或 蠕虫 的 生命 周期 中 有 哪些 典型 阶段 

答 ”潜伏 阶段 .传染 阶段 .触发 阶段 和 发 作 阶段 。 

10.4 病毒 防治 有 了 哪些 技术 ? 

答 ”病毒 的 防治 技术 分 为 “ 防 ” 和 “ 治 ” 两 部 分 。“ 防 ” 毒 技 术 包 括 预防 技术 和 免疫 技术 ; 
“ 治 ? 毒 技术 包括 检查 技术 和 消除 技术 。 

10.5 列 出 并 简要 定义 三 类 入 侵 者 。 

答 (1) 假冒 者 : 指 未 经 授权 使 用 计算 机 的 人 和 穿 透 系 统 的 存 取 控制 , 冒 用 合法 用 户 
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账号 的 用 户 。 

(2) 非法 者 : 指 未 经 授权 访问 数据 ,程序 和 资源 的 合法 用 户 ; 或 者 已 经 获得 授权 访问 ， 
但 是 错误 使 用 权限 的 合法 用 户 。 

(3) 秘密 用 户 : 夺取 系统 超级 控制 ,并 使 用 这 种 控制 权 逃 避 审 计 和 访问 控制 ,或 者 抑制 
审计 记录 的 个 人 。 

10.6 用 于 保护 口令 文件 的 两 种 通用 技术 是 什么 ? 

答 ” 单 向 加 密 : 系统 只 保存 用 户口 令 的 密 文 。 当 用 户 提 出 验证 口令 请 求 时 ,系统 加 密 
此 口令 ,并 与 保存 的 密 文 对 比 ,判断 真 假 。 

访问 控制 : 对 口令 文件 的 访问 仅 限于 少数 几 个 账号 。 

10.7 什么 是 入 侵 检 测 ? 典型 过 程 如 何 ? 

答 ”入侵 检测 是 指 在 计算 机 网 络 或 计算 机 系统 中 的 若干 关键 点 收集 信息 并 对 收集 到 的 
信息 进行 分 析 , 从 而 判断 网 络 或 系统 中 是 否 有 违反 安全 策略 的 行为 和 被 攻击 的 迹象 。 它 是 
对 入 侵 行为 的 发 觉 。 

入 侵 检 测 的 典型 过 程 是 : 信息 收集 、 信 息 ( 数 据 ) 预 处 理 、 数 据 的 检测 分 析 、 根 据 安全 策 
上 略 做 出 响应 。 有 的 还 包括 检测 效果 的 评估 。 

10.8 什么 是 入 侵 检 测 系统 ? IDS 包含 哪些 实体 ? 

答 ”入侵 检测 系统 (IDS) 是 完成 入 侵 检 测 功 能 的 软件 .硬件 的 组 合 。 入 侵 检 测 系 统 是 
对 敌对 攻击 在 适当 的 时 间 内 进行 检测 并 做 出 响应 的 一 种 工具 。 

IDS 包括 下 列 几 个 实体 : 事件 生成 器、 事件 分 析 器 、 事 件数 据 库 、 响 应 单元 、 目 录 服 
务 器 。 

10.9 统计 异常 检测 和 基于 规则 的 入 侵 检 测 之 间 有 哪些 区 别 ? 

答 ”统计 异常 检测 是 收集 一 段 时 间 内 合法 用 户 的 行为 ,然后 用 统计 测试 来 观测 其 行为 ， 
判定 该 行为 是 否 是 合法 行为 。 基 于 规则 的 检测 是 定义 一 个 规则 集 , 用 于 判定 给 定 行为 是 否 
为 入 侵 者 的 行为 。 简 单 地 讲 ,统计 方法 试图 定义 正常 的 ,期望 的 行为 .而 基于 规则 的 方法 定 
义 正 确 的 行为 。 

10. 10 什么 是 防火 墙 7? 它 有 哪些 功能 和 局 限 性 ? 

答 防火墙 指 的 是 一 个 由 软件 和 硬件 组 合 而 成 的 计算 机 或 者 网 络 系统 , 它 一 般 部 署 在 
在 内 部 网 和 外 部 网 之 间 ,用 来 阻止 未 授权 或 者 非法 通信 的 传输 。 

防火 墙 有 如 下 功能 : 

(1) 防火 墙 定义 了 单一 阻塞 点 , 它 使 得 未 授权 的 用 户 无 法 进入 网 络 ,禁止 了 潜在 的 易 受 
攻击 的 服务 进入 或 是 离开 网 络 ,同时 防止 了 种 种 形式 的 IP 欺骗 和 路 由 攻击 。 

(2) 防火 墙 提 供 了 一 个 监控 安全 事件 的 地 点 。 

(3) 防火 墙 还 是 一 个 便利 的 平台 ,这 个 平台 提供 了 一 些 与 网 络 安全 无 关 的 功能 。 

(4) 防火 墙 可 以 作为 IPSec 的 平台 。 利 用 隧道 模式 方法 ,防火 墙 可 以 用 来 实现 虚拟 专 
用 网 络 。 

防火 墙 有 如 下 局 限 性 : 

(1) 防火 墙 不 能 防御 绕 过 了 它 的 攻击 。 

(2) 防火 墙 不 能 消除 来 自 内 部 的 威胁 。 

(3) 防火 墙 不 能 防止 病毒 感染 过 的 程序 和 文件 进出 网 络 。 
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10.11 列 出 并 简要 定义 防火 墙 的 分 类 。 

答 ” 包 过 滤 防 火 墙 : 包 过 滤 技 术 是 最 早 的 防火 墙 技术 。 这 种 防火 墙 的 原理 是 依据 IP 
数据 报 的 各 种 包头 信息 ,并 将 这 些 信息 与 防火 墙 内 建 规则 进行 比较 ,然后 根据 过 滤 规 则 阻止 
或 允许 数据 包 通 过 防火 墙 。 

状态 检测 防火 墙 : 状态 检测 防火 墙 也 叫 自 适应 防火 墙 ,或 者 动态 包 过 滤 防 火 墙 。 状 态 
检测 技术 的 原理 是 利用 建立 的 外 向 TCP 连接 状态 表 , 来 跟踪 每 一 个 网 络 通信 会 话 的 状态 ， 
加 强 了 处 理 TCP 通信 的 规则 。 

应 用 级 网 关 : 应 用 级 网 关 也 叫做 代理 服务 器 , 它 在 应 用 级 的 通信 中 扮演 着 一 个 消息 传 
递 者 的 角色 工作 在 OSI 的 最 高 层 ., 即 应 用 层 。 其 特点 是 完全 阻隔 了 网 络 通信 流 , 通 过 对 每 
种 应 用 服务 编制 专门 的 代理 程序 ,实现 监视 和 控制 应 用 层 通信 流 的 作用 。 
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